WO2017024662A1

WO2017024662A1 - 一种接入认证方法及装置

Info

Publication number: WO2017024662A1
Application number: PCT/CN2015/090766
Authority: WO
Inventors: 石小丽; 罗海燕
Original assignee: 华为技术有限公司
Priority date: 2015-08-11
Filing date: 2015-09-25
Publication date: 2017-02-16
Also published as: KR102022813B1; RU2699403C1; JP2018527819A; EP3328106A1; US20180167811A1; KR20180038493A; EP3328106B1; BR112018002544A2; CN106797559B; EP3328106A4; JP6702595B2; CN106797559A

Abstract

本发明提供了一种接入认证方法及装置，用于解决现有技术存在的认证时间较长，信令开销大的问题。该方法包括：蜂窝网接入设备确定密钥标识；所述蜂窝网接入设备将确定的所述密钥标识发送给所述UE以及所述非蜂窝网接入设备，所述密钥标识用于指示用户设备UE基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证。

Description

一种接入认证方法及装置

本申请要求在2015年8月11日提交中国专利局、申请号为PCT/CN2015/086637、发明名称为“一种接入认证方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域，尤其涉及一种接入认证方法及装置。

背景技术

由于智能终端的普及和移动互联网的发展，移动业务数据的流量爆炸性增长，导致第三代移动通信标准化组织(英文：3rd Generation Partnership Project，简称：3GPP)网络越来越难以满足数据流量增长的需求。移动运营商通过3GPP网络和非3GPP网络进行合作来缓解3GPP网络流量压力，例如通过无线局域网(英文：Wireless Local Area Network，简称：WLAN)网与3GPP网合作。

现有WLAN与3GPP网络间进行合作时，当3GPP网业务过载时，可以将WLAN覆盖范围内的用户的全部或者部分业务分流到WLAN网络。在实现WLAN与3GPP网络间合作时，依然需要考虑UE经由WLAN网络与3GPP网络进行通信的安全性问题，因此，为了方便用户，需要实现WLAN与3GPP网统一认证。

目前的解决方案是：WLAN的认证仍然按照3GPP协议规定的认证方式进行认证，目前常用的一种认证方式为802.1X认证与密钥协商协议(英文：Extensible Authentication Protocol-Authentication and Key Agreement，简称：EAP-AKA)，EAP-AKA认证方式需要部署3GPP认证、授权和计费(英文：Authentication，Authorization and Accounting，简称：AAA)服务器(Server)。用户设备(英文：User Equipment，简称：UE)在接入3GPP网后进行安全认证后，当需要进行多流汇聚的数据传输时，例如LTE-WLAN汇聚(英文：LTE-WLAN Aggregation，简称：LWA)，UE在接入WLAN时，需要先到AAA服务器进行身份认证。在身份认证通过后，UE和WLAN网络的接入点(英文：Access Point，简称：AP)获取到AAA服务器为该AP确定的密钥，然后UE与AP基于获取到的密钥进行四次握手认证，在认证通过后，UE与该AP才能进行通信。从现有方案来看，EAP-AKA认证方式需要UE在关联AP时先到AAA服务器进行身份认证并协商密钥，然后再基于协商的密钥与AP进行四次握手认证，整个认证的过程需要通过多次信令交互，过程比较繁琐，从而增加了信令的开销，导致认证时间较长。

发明内容

本发明实施例提供了一种接入认证方法及装置，用于解决现有技术存在的认证时间较长，信令开销大的问题。

第一方面，本发明实施例提供了一种接入认证方法，包括：

蜂窝网接入设备确定密钥标识；

所述蜂窝网接入设备将所述密钥标识分别发送给用户设备UE以及非蜂窝网接入设备，所述密钥标识用于指示所述UE基于所述密钥标识对应的密钥与所述非蜂窝网接入设备进行安全认证。

结合第一方面，在第一方面的第一种可能的实现方式中，所述蜂窝网接入设备确定密钥标识，包括：

所述蜂窝网接入设备确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；

所述蜂窝网接入设备针对所述逻辑功能实体管理的每一个非蜂窝网接入设备分别执行以下步骤：

确定所述每一个非蜂窝网接入设备的标识所对应的密钥标识；

所述蜂窝网接入设备将确定的所述密钥标识发送给所述UE以及所述非蜂窝网接入设备，包括：

所述蜂窝网接入设备将确定的每一个非蜂窝网接入设备对应的密钥标识分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备，并将密钥标识列表发送给所述UE，所述密钥标识列表中包括所述逻辑功能实体管理的每一个非蜂窝网接入设备的标识以及每一个非蜂窝网接入设备对应的密钥标识。

结合第一方面，在第一方面的第二种可能的实现方式中，所述蜂窝网接入设备确定密钥标识，包括：

所述蜂窝网接入设备为所述至少一个非蜂窝网接入设备确定密钥标识，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥标识相同，所述密钥标识用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证；

所述蜂窝网接入设备将确定的所述密钥标识分别发送给各个非蜂窝网接入设备的标识对应的非蜂窝网接入设备以及所述UE。

结合第一方面和第一方面的第一种至第二种可能的实现方式中的任意一种，在第一方面的第三种可能的实现方式中，还包括：

所述蜂窝网接入设备确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；

所述蜂窝网接入设备将确定的所述密钥标识发送给所述UE以及非蜂窝网接入设备，包括：

所述蜂窝网接入设备将所述密钥和所述密钥标识关联后发送给所述UE以及非蜂窝网接入设备。

结合第一方面和第一方面的第一种至第二种可能的实现方式中的任意一种，在第一方面的第四种可能的实现方式中，还包括：

所述蜂窝网接入设备基于预定推演规则确定密钥；所述密钥用于所述UE与所述非蜂窝网接入设备进行安全认证，所述预定推演规则与所述UE为自身关联非蜂窝网接入设备确定密钥所使用的推演规则相同；

所述蜂窝网接入设备将确定的所述密钥标识发送给所述UE和所述非蜂窝网接入设备，包括：

所述蜂窝网接入设备将所述密钥和所述密钥标识关联后发送给所述非蜂窝网接入设备，并将所述密钥标识发送给所述UE。

结合第一方面的第一种至第四种可能的实现方式中的任意一种，在第一方面的第五种可能的实现方式中，还包括：

所述蜂窝网接入设备将以下至少一项发送给所述UE和/或所述非蜂窝网接入设备：

生命周期、认证方式指示信息；

其中，所述生命周期用于指示所述密钥和所述密钥标识的有效期，所述认证方式指示信息用于指示所述UE采用的认证类型。

第二方面，本发明实施例还提供了一种接入认证方法，包括：

用户设备UE接收到蜂窝网接入设备发送的密钥标识，所述密钥标识用于指示所述UE基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证；

所述UE确定所述密钥标识对应的密钥；

所述UE根据接收到的所述密钥标识以及确定的所述密钥与所述非蜂窝网接入设备进行安全认证。

结合第二方面，在第二方面的第一种可能的实现方式中，所述UE确定所述密钥标识对应的密钥，包括：

所述UE接收到所述蜂窝网接入设备发送的所述密钥标识对应的密钥；或者，

所述UE与所述蜂窝网接入设备协商确定所述密钥标识对应的密钥；或者，

所述UE根据预定推演规则确定所述密钥标识对应的密钥。

结合第二方面或第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述UE接收到蜂窝网接入设备发送的密钥标识，包括：

所述UE接收到所述蜂窝网接入设备发送的密钥标识列表，所述密钥标识列表中包括所述UE待选择关联的各个非蜂窝网接入设备的标识以及各个非蜂窝网接入设备对应的密钥标识；

所述UE根据接收到的所述密钥标识以及确定的所述密钥与所述非蜂窝网接入设备进行安全认证，包括：

所述UE根据所述密钥标识列表中的目标非蜂窝网接入设备的标识对应的密钥标识以及确定的所述密钥与所述目标非蜂窝网接入设备进行安全认证，其中，所述目标非蜂窝网接入设备由所述UE或所述蜂窝网接入设备确定。

第三方面，本发明实施例还提供了一种接入认证方法，包括：

非蜂窝网接入设备接收到蜂窝网接入设备发送的密钥标识；所述密钥标识用于指示所述非蜂窝网接入设备对关联自身的用户设备UE进行安全认证；

所述非蜂窝网接入设备在接收到所述UE发起的关联所述非蜂窝网接入设备的关联请求时，基于所述密钥标识对应的密钥与所述UE进行安全认证。

第四方面，本发明实施例还提供了一种接入认证装置，包括：

确定单元，用于确定密钥标识；

发送单元，用于将所述确定单元确定的所述密钥标识分别发送给用户设备UE以及非蜂窝网接入设备，所述密钥标识用于指示所述UE基于所述密钥标识对应的密钥与所述非蜂窝网接入设备进行安全认证。

结合第四方面，在第四方面的第一种可能的实现方式中，所述确定单元，具体用于确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；并针对所述逻辑功能实体管理的每一个非蜂窝网接入设备分别执行以下步骤：确定所述每一个非蜂窝网接入设备的标识所对应的密钥标识；

所述发送单元，具体用于将所述确定单元确定的每一个非蜂窝网接入设备对应的密钥标识分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备，并将密钥标识列表发送给所述UE，所述密钥标识列表中包括所述逻辑功能实体管理的每一个非蜂窝网接入设备的标识以及每一个非蜂窝网接入设备对应的密钥标识。

结合第四方面，在第四方面的第二种可能的实现方式中，所述确定单元，具体用于确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；并为所述逻辑功能实体所述至少一个非蜂窝网接入设备确定密钥标识，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥标识相同，所述密钥标识用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证；

所述发送单元，具体用于将所述确定单元确定的所述密钥标识分别发送给各个非蜂窝网接入设备的标识对应的非蜂窝网接入设备以及所述UE。

结合第四方面和第四方面的第一种至第二种可能的实现方式中的任意一种，在第四方面的第三种可能的实现方式中，所述确定单元，还用于确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；

所述发送单元，具体用于将所述确定单元确定的所述密钥和所述密钥标识关联后发送给所述UE以及非蜂窝网接入设备。

结合第四方面和第四方面的第一种至第二种可能的实现方式中的任意一种，在第四方面的第四种可能的实现方式中，所述确定单元，还用于基于预定推演规则确定密钥；所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；所述预定推演规则与所述UE为自身关联非蜂窝网接入设备确定密钥所使用的推演规则相同；

所述发送单元，具体用于将所述确定单元确定的所述密钥和所述密钥标识关联后发送给所述非蜂窝网接入设备，并将所述密钥标识发送给所述UE。

结合第四方面的第一种至第四种可能的实现方式中的任意一种，在第四方面的第五种可能的实现方式中，所述发送单元，还用于将以下至少一项发送给所述UE和/或所述非蜂窝网接入设备：

生命周期、认证方式指示信息；

第五方面，本发明实施例还提供了一种接入认证装置，包括：

接收单元、确定单元以及认证单元；

所述接收单元，用于接收到蜂窝网接入设备发送的密钥标识，所述密钥标识用于指示所述认证单元基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证；

所述确定单元，用于确定所述接收单元接收到的所述密钥标识对应的密钥；

所述认证单元，用于根据所述接收单元接收到的所述密钥标识以及所述确定单元确定的所述密钥与所述非蜂窝网接入设备进行安全认证。

结合第五方面，在第五方面的第一种可能的实现方式中，所述确定单元，具体用于：

在所述接收单元接收到所述蜂窝网接入设备发送的所述密钥标识对应的密钥时，确定所述密钥标识对应的密钥；或者，

与所述蜂窝网接入设备协商确定所述密钥标识对应的密钥；或者，

根据预定推演规则确定所述密钥标识对应的密钥。

结合第五方面或第五方面的第一种可能的实现方式，在第五方面的第二种可能的实现方式中，所述接收单元，具体用于接收所述蜂窝网接入设备发送的密钥标识列表，所述密钥标识列表中包括所述UE待选择关联的各个非蜂窝网接入设备的标识以及各个非蜂窝网接入设备对应的密钥标识；

所述确定单元，还用于确定目标非蜂窝网接入设备；

所述认证单元，具体用于根据所述密钥标识列表中的目标非蜂窝网接入设备的标识对应的密钥标识以及确定的所述密钥与所述目标非蜂窝网接入设备进行安全认证，其中，所述目标非蜂窝网接入设备由所述确定单元或所述蜂窝网接入设备确定。

第六方面，本发明实施例还提供了一种接入认证装置，包括：

接收单元以及认证单元；

所述接收单元，用于接收到蜂窝网接入设备发送的密钥标识；所述密钥标识用于指示所述认证单元对关联自身的用户设备UE进行安全认证；

所述认证单元，用于在所述接收单元接收到所述UE发起的关联所述认证单元所属的非蜂窝网接入设备的关联请求时，基于所述密钥标识对应的密钥与所述UE进行安全认证。

第七方面，本发明实施例还提供了一种接入认证系统，包括：

蜂窝网接入设备、用户设备UE以及至少一个非蜂窝网接入设备；

所述蜂窝网接入设备确定密钥标识，所述密钥标识用于指示所述UE基于所述密钥标识对应的密钥与所述至少一个非蜂窝网接入设备中的一个非蜂窝网接入设备进行安全认证；并将所述密钥标识分别发送给所述UE以及所述一个非蜂窝网接入设备；

所述UE，用于接收所述蜂窝网接入设备发送的所述密钥标识，并基于所述密钥标识对应的密钥与所述一个非蜂窝网接入设备进行安全认证；

所述一个非蜂窝网接入设备，用于接收所述蜂窝网接入设备发送的所述密钥标识，并基于所述密钥标识对应的密钥与所述UE进行安全认证。

结合第七方面，在第七方面的第一种可能的实现方式中，还包括逻辑功能实体，用于管理所述至少一个非蜂窝网接入设备；

所述蜂窝网接入设备，具体用于确定管理所述一个非蜂窝网接入设备的逻辑功能实体；针对所述逻辑功能实体管理的每一个非蜂窝网接入设备分别执行以下步骤：确定所述每一个非蜂窝网接入设备的标识所对应的密钥标识；将确定的每一个非蜂窝网接入设备对应的密钥标识分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备，并将密钥标识列表发送给所述UE，所述密钥标识列表中包括所述逻辑功能实体管理的每一个非蜂窝网接入设备的标识以及每一个非蜂窝网接入设备对应的密钥标识；

所述UE，具体用于在接收所述蜂窝网接入设备发送的所述密钥标识时，接收所述蜂窝网接入设备发送的所述密钥标识列表；在基于所述密钥标识对应的密钥与所述一个非蜂窝网接入设备进行安全认证时，根据所述密钥标识列表中的目标非蜂窝网接入设备的标识对应的密钥标识以及确定的所述密钥与所述目标非蜂窝网接入设备进行安全认证，其中，所述目标非蜂窝网接入设备由所述UE或所述蜂窝网接入设备确定。

结合第七方面，在第七方面的第二种可能的实现方式中，还包括逻辑功能实体，用于管理所述至少一个非蜂窝网接入设备；

所述蜂窝网接入设备，具体用于确定管理所述非蜂窝网接入设备的逻辑功能实体；为所述至少一个非蜂窝网接入设备确定密钥标识，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥标识相同，所述密钥标识用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证；将确定的所述密钥标识分别发送给各个非蜂窝网接入设备的标识对应的非蜂窝网接入设备以及所述UE；

所述UE，具体用于在基于所述密钥标识对应的密钥与所述一个非蜂窝网接入设备进行安全认证时，根据目标非蜂窝网接入设备的标识对应的密钥标识以及确定的所述密钥与所述目标非蜂窝网接入设备进行安全认证，其中，所述目标非蜂窝网接入设备由所述UE或所述蜂窝网接入设备确定。

结合第七方面和第七方面的第一种至第二种可能的实现方式中的任意一种，在第七方面的第三种可能的实现方式中，所述蜂窝网接入设备，还用于确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；并在将确定的所述密钥标识发送给所述UE以及非蜂窝网接入设备时，将所述密钥和所述密钥标识关联后发送给所述UE以及非蜂窝网接入设备；

所述UE，具体用于接收所述非蜂窝网接入设备发送的密钥标识及密钥标识对应的密钥，并根据接收到的密钥标识及密钥与所述非蜂窝网接入设备进行安全认证。

结合第七方面和第七方面的第一种至第二种可能的实现方式中的任意一种，在第七方面的第四种可能的实现方式中，所述蜂窝网接入设备，还用于基于预定推演规则确定密钥；所述密钥用于所述UE与所述非蜂窝网接入设备进行安全认证；并在将确定的所述密钥标识发送给所述UE和所述非蜂窝网接入设备时，将所述密钥和所述密钥标识关联后发送给所述非蜂窝网接入设备，并将所述密钥标识发送给所述UE；

所述UE，在接收到所述一个非蜂窝网接入设备发送的密钥标识时，基于所述预定推演规则确定密钥，并基于所述密钥标识及确定的所述密钥与所述非蜂窝网接入设备进行安全认证。

结合第七方面和第七方面的第一种至第四种可能的实现方式中的任意一种，在第七方面的第五种可能的实现方式中，所述蜂窝网接入设备，还用于将以下至少一项发送给所述UE和/或所述非蜂窝网接入设备：

生命周期、认证方式指示信息；

本发明实施例提供的方案，通过蜂窝网接入设备确定密钥标识，然后蜂窝网接入设备将确定的所述密钥标识直接发送给所述UE以及所述非蜂窝网接入设备。UE和非蜂窝网接入设备均获取到该密钥标识，从而UE与非蜂窝网接入设备直接通过该密钥标识对应的密钥进行安全认证即可，认证时间短，信令开销小。

第八方面，本发明实施例提供了一种接入认证方法，包括：

蜂窝网接入设备为非蜂窝网接入设备确定密钥，所述密钥用于用户设备UE与所述非蜂窝网接入设备进行安全认证；所述蜂窝网接入设备确定密钥的方式与所述UE确定密钥的方式相同；

所述蜂窝网接入设备将确定的密钥发送给所述非蜂窝网接入设备。

结合第八方面，在第八方面的第一种可能的实现方式中，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥，包括：

所述蜂窝网接入设备基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥；其中，推演密钥所使用的推演规则为预配置，且与预配置在所述UE中推演密钥所使用的推演规则相同。

结合第八方面，在第八方面的第二种可能的实现方式中，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥，包括：

所述蜂窝网接入设备基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥；

所述方法还包括：

所述蜂窝网接入设备将推演所述密钥所使用的推演规则发送给所述UE，所述推演规则用于所述UE为与所述非蜂窝网接入设备进行安全认证推演密钥。

结合第八方面和第八方面的第一种至第二种可能的实现方式中的任意一种，在第八方面的第三种可能的实现方式中，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥，包括：

确定所述每一个非蜂窝网接入设备的标识所对应的密钥；

所述蜂窝网接入设备将确定的所述密钥发送给所述非蜂窝网接入设备，包括：

所述蜂窝网接入设备将确定的每一个非蜂窝网接入设备对应的密钥分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备。

结合第八方面和第八方面的第一种至第二种可能的实现方式中的任意一种，在第八方面的第四种可能的实现方式中，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥，包括：

所述蜂窝网接入设备为所述至少一个非蜂窝网接入设备确定密钥，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥相同，所述密钥用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。

结合第八方面和第八方面的第一种至第二种可能的实现方式中的任意一种，在第八方面的第五种可能的实现方式中，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥，包括：

所述蜂窝网接入设备确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；所述至少一个非蜂窝网接入设备包括在至少一个非蜂窝网接入设备组；

所述蜂窝网接入设备为每一个非蜂窝网接入设备组确定密钥，其中，所述每一个非蜂窝网接入设备组包括的各个非蜂窝网接入设备的标识对应的密钥相同，所述密钥用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。

结合第八方面和第八方面的第一种至第五种可能的实现方式中的任意一种，在第八方面的第六种可能的实现方式中，还包括：

所述蜂窝网接入设备在为非蜂窝网接入设备确定密钥后，确定所述密钥对应的密钥标识；并将所述密钥标识发送给所述非蜂窝网接入设备。

第九方面，本发明实施例提供了一种接入认证方法，该方法包括：

用户设备UE确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；

所述UE确定所述密钥对应的密钥标识；

所述UE采用所述密钥和所述密钥标识与所述非蜂窝网接入设备进行安全认证。

结合第九方面，在第九方面的第一种可能的实现方式中，所述UE确定密钥，包括：

所述UE使用推演规则在与所述蜂窝网接入设备的共享密钥的基础上推演密钥；

其中，所述推演规则由所述蜂窝网接入设备发送，或者所述推演规则为预先配置在所述UE中，且与所述蜂窝网接入设备为所述非蜂窝网接入设备推演密钥所使用的推演规则相同。

第十方面，本发明实施例提供了一种接入认证方法，该方法包括：

非蜂窝网接入设备接收到蜂窝网接入设备发送的密钥；所述密钥用于指示所述非蜂窝网接入设备对关联自身的用户设备UE进行安全认证；

所述非蜂窝网接入设备确定所述密钥对应的密钥标识；

所述非蜂窝网接入设备采用所述密钥标识以及所述密钥与所述UE进行安全认证。

结合第十方面，在第十方面的第一种可能的实现方式中，所述非蜂窝网接入设备确定所述密钥对应的密钥标识，包括：

所述非蜂窝网接入设备接收到所述蜂窝网接入设备发送的所述密钥对应的密钥标识。

第十一方面，本发明实施例提供了一种接入认证装置，所述装置应用于蜂窝网接入设备，包括：

处理单元，用于为非蜂窝网接入设备确定密钥，所述密钥用于用户设备UE与所述非蜂窝网接入设备进行安全认证；所述处理单元确定密钥的方式与所述UE确定密钥的方式相同；

收发单元，用于将所述处理单元确定的密钥发送给所述非蜂窝网接入设备。

结合第十一方面，在第十一方面的第一种可能的实现方式中，所述处理单元，具体用于基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥；其中，推演密钥所使用的推演规则为预配置，且与预配置在所述UE中推演密钥所使用的推演规则相同。

结合第十一方面，在第十一方面的第二种可能的实现方式中，所述处理单元，具体用于基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥；

所述收发单元，还用于将推演所述密钥所使用的推演规则发送给所述UE，所述推演规则用于所述UE为与所述非蜂窝网接入设备进行安全认证推演密钥。

结合第十一方面和第十一方面的第一种至第二种可能的实现方式中的任意一种，在第十一方面的第三种可能的实现方式中，所述处理单元，具体用于：

确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；

针对所述逻辑功能实体管理的每一个非蜂窝网接入设备分别执行以下步骤：确定所述每一个非蜂窝网接入设备的标识所对应的密钥；

所述收发单元，在将所述处理单元确定的所述密钥发送给所述非蜂窝网接入设备时，具体用于：

将所述处理单元确定的每一个非蜂窝网接入设备对应的密钥分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备。

结合第十一方面和第十一方面的第一种至第二种可能的实现方式中的任意一种，在第十一方面的第四种可能的实现方式中，所述处理单元，具体用于：

为所述至少一个非蜂窝网接入设备确定密钥，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥相同，所述密钥用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。

结合第十一方面和第十一方面的第一种至第二种可能的实现方式中的任意一种，在第十一方面的第五种可能的实现方式中，所述处理单元，具体用于：

确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；所述至少一个非蜂窝网接入设备包括在至少一个非蜂窝网接入设备组；

为每一个非蜂窝网接入设备组确定密钥，其中，所述每一个非蜂窝网接入设备组包括的各个非蜂窝网接入设备的标识对应的密钥相同，所述密钥用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。

结合第十一方面和第十一方面的第一种至第五种可能的实现方式中的任意一种，在第十一方面的第六种可能的实现方式中，所述处理单元，还用于在为非蜂窝网接入设备确定密钥后，确定所述密钥对应的密钥标识；

所述收发单元，还用于将所述处理单元确定的所述密钥标识发送给所述非蜂窝网接入设备。

第十二方面，本发明实施例提供了一种接入认证装置，所述装置应用于用户设备UE，包括：

确定单元，用于确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；并确定所述密钥对应的密钥标识；

认证单元，用于采用所述密钥和所述密钥标识与所述非蜂窝网接入设备进行安全认证。

结合第十二方面，在第十二方面的第一种可能的实现方式中，所述确定单元，在确定密钥时，具体用于使用推演规则在与所述蜂窝网接入设备的共享密钥的基础上推演密钥；

第十三方面，本发明实施例提供了一种接入认证装置，所述装置应用于非蜂窝网接入设备，包括：

收发单元，用于接收到蜂窝网接入设备发送的密钥；所述密钥用于指示所述非蜂窝网接入设备对关联所述非蜂窝网接入设备的用户设备UE进行安全认证；

处理单元，用于确定所述密钥对应的密钥标识，并采用所述密钥标识以及所述密钥与所述UE进行安全认证。

结合第十三方面，在十三方面的第一种可能的实现方式中，所述收发单元，还用于接收所述蜂窝网接入设备发送的所述密钥对应的密钥标识。

附图说明

图1为本发明实施例提供的一种接入认证方法流程图；

图2为本发明实施例提供的另一种接入认证方法流程图；

图3为本发明实施例提供的又一种接入认证方法流程图；

图4A～图4B为本发明实施例提供的分流汇聚的网络系统结构示意图；

图5为本发明实施例提供的一种接入认证方法示意图；

图6为本发明实施例提供的另一种接入认证方法示意图；

图7为本发明实施例提供的一种接入认证装置示意图；

图8为本发明实施例提供的另一种接入认证装置示意图；

图9为本发明实施例提供的又一种接入认证装置示意图；

图10为本发明实施例提供的蜂窝网接入设备结构示意图；

图11为本发明实施例提供的用户设备结构示意图；

图12为本发明实施例提供的非蜂窝网接入设备结构示意图；

图13为本发明实施例提供的一种接入认证系统结构示意图；

图14为本发明实施例提供的由蜂窝网接入设备执行的接入认证方法流程图；

图15为本发明实施例提供的由UE执行的接入认证方法流程图；

图16为本发明实施例提供的由非蜂窝网接入设备执行的接入认证方法流程图；

图17为本发明实施例提供的一种接入认证方法示意图；

图18为本发明实施例提供的应用于蜂窝网接入设备的接入认证装置示意图；

图19为本发明实施例提供的应用于UE的接入认证装置示意图；

图20为本发明实施例提供的应用于非蜂窝网接入设备的接入认证装置示意图；

图21为本发明实施例提供的应用于蜂窝网接入设备的接入认证设备示意图；

图22为本发明实施例提供的应用于UE的接入认证设备示意图；

图23为本发明实施例提供的应用于非蜂窝网接入设备的接入认证设备示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例提供了一种接入认证方法及装置，用于解决现有技术存在的认证时间较长，信令开销大的问题。由于方法及装置解决问题的原理相同，因此方法部分与装置部分实施例可以相互参见，重复之处不再赘述。

首先对本文中提供的一些术语进行解释说明，以方便本领域技术人员理解：

1)、“蜂窝网”及“蜂窝网接入设备”

“蜂窝网”可以包括但不限于以下任一种系统中的蜂窝网：长期演进(英文：Long Term Evolution，简称：LTE)系统、3GPP协议相关的全球移动通信(英文：Global System for Mobile communications，简称：GSM)系统，码分多址(英文：Code Division Multiple Access，简称：CDMA)系统，时分多址(英文：Time Division Multiple Access，简称：TDMA)系统，宽带码分多址(英文：Wideband Code Division Multiple Access Wireless，简称：WCDMA)系统，频分多址(英文：Frequency Division Multiple Addressing，简称：FDMA)系统，正交频分多址(英文：Orthogonal Frequency-Division Multiple Access，简称：OFDMA)系统，单载波FDMA(SC-FDMA)系统，通用分组无线业务(英文：General Packet Radio Service，简称：GPRS)系统，通用移动通信系统(英文：Universal Mobile Telecommunications System，简称：UMTS)等。

“蜂窝网接入设备”可以是基站设备，例如，LTE中的eNB、GSM或CDMA系统中的BTS(Base Transceiver Station，基站收发台)、WCDMA系统中的节点B(Node B)等；还可以是控制节点，例如，LTE中的SRC(Single RAN Coordinator，融合的接入网协调器)、UMTS中的RNC(Radio Network Controller，无线网络控制器)等。

2)、“非蜂窝网”及“非蜂窝网接入设备”

“非蜂窝网”可以包括但不限于以下任一种：WLAN、全球微波接入互操作性(英文：Worldwide Interoperability for Mi-crowave Access，简称：WIMAX)网络等。

“非蜂窝网接入设备”可以是WLAN中的接入点(英文：Access Point，简称：AP)或接入控制器(英文：Access Controller，简称AC)，还可以是WIMAX网络中的基站(英文：Base Station，简称：BS)。

在本发明实施例中，当非蜂窝网为WLAN时，“非蜂窝网接入设备”具体可以为自主管理架构(即“胖”AP架构)，也可以为集中管理架构(即“瘦”AP架构)。

自主管理架构中，WLAN AP负责用户设备接入、用户设备断开、权限认证、安全策略实施、数据转发、数据加密、网络管理等任务，自主控制WLAN AP的配置和无线功能。集中管理架构又称为“瘦”AP架构，管理权一般集中在无线控制器(英文：Access Controller，简称：AC)上。该AC管理用户设备的IP地址、认证和加密等，WLAN AP只具有加密、数据转发、射频功能，不能独立工作。WLAN AP与AC之间采用控制和配置无线接入点(英文：Control And Provisioning of Wireless Access Points，简称：CAPWAP)规范协议。可选的，上述WLAN AP可以与基站一体化设置。为便于理解和说明，以下以自主管理架构即“胖”AP架构为例，本发明并不限定。

3)、逻辑功能实体

一般地，蜂窝网接入设备与非蜂窝网接入设备之间不能直接进行通信，而是通过逻辑功能实体进行通信。具体的，逻辑功能实体可以为蜂窝网中的设备，也可以为非蜂窝网中的设备。

可选的，当非蜂窝网为WLAN时，逻辑功能实体可以为WLAN中的设备，具体可以为WLAN节点(英文：WLAN Termination，简称：WT)。其中，在WLAN中，WT可以与AP合设，也可以与AC合设，还可以独立于AP和AC。

4)、eNB、WT、AP与UE之间的对应关系(或称为连接关系)

一个eNB可以连接一个或多个WT，换言之，一个eNB可以支持一个或多个WT；一个WT可以支持一个或多个AP组(AP Group)。其中，一个AP Group由一个或多个AP组成。一般地，一个WT连接一个eNB；特殊地，位于多个eNB的共同覆盖区域中的WT可以与该多个eNB连接。一个AP可以连接一个或多个UE。

一般地，eNB直接与WT之间进行通信，UE直接与非蜂窝网中的AP之间进行通信。

5)、多流汇聚

本文中的描述的“多流汇聚”是指蜂窝网接入设备与UE之间通信的部分数据，即进行多流汇聚的数据，经非蜂窝网接入设备进行传输，蜂窝网接入设备与该UE之间通信的其他数据即未进行多流汇聚的数据，直接在蜂窝网接入设备与该UE之间传输。其中，蜂窝网接入设备与非蜂窝网接入设备之间通过逻辑功能实体进行通信。

“多流汇聚”包括下行多流汇聚和上行多流汇聚。蜂窝网可以仅支持下行多流汇聚，也可以仅支持上行多流汇聚，还可以既支持下行多流汇聚也支持上行多流汇聚。

6)、UE

本发明所涉及到的UE可以包括具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,以及各种形式的用户设备。包括但不限于：站台(英文：Station，简称：STA)、移动台(英文：Mobile Station，简称：MS)、用户单元(Subscriber Unit)、个人电脑(英文：Personal Computer，简称：PC)、膝上型电脑(英文：Laptop Computer，简称：LC)、平板电脑(英文：Tablet Computer，简称：TC)、上网本(Netbook)、终端(Terminal)、个人数字助理(英文：Personal Digital Assistant，简称：PDA)、移动WiFi热点设备(MiFi Devices)、智能手表、智能眼镜等。上述UE可以分布于整个网络中。为方便描述，本申请中，简称为用户设备或UE。

7)、本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中符号“/”，一般表示前后关联对象是一种“或”的关系。

本发明实施例提供了一种接入认证方法，如图1所示，该方法包括：

步骤101，蜂窝网接入设备确定密钥标识。

其中，所述密钥标识用于指示UE基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证。

其中，蜂窝网接入设备可以为该UE针对逻辑功能实体下的每个非蜂窝接入设备确定一个相同的密钥标识，或者也可以为该UE针对逻辑功能实体下的每个非蜂窝网接入设备组下的每个非蜂窝网接入设备确定一个相同的密钥标识，或者也可以为UE针对逻辑功能实体下的所有非蜂窝接入设备组下的每个非蜂窝接入设备确定不同的密钥标识。

密钥标识可以由蜂窝网接入设备基于UE的标识以及非蜂窝网接入设备的标识通过哈希(HASH)算法确定。还可以仅基于UE的标识确定。当然还可以由其他算法确定，针对确定密钥标识的算法本发明实施例不作具体限定。

步骤102，所述蜂窝网接入设备将确定的所述密钥标识发送给所述UE以及非蜂窝网接入设备，所述密钥标识用于指示所述UE基于所述密钥标识对应的密钥与所述非蜂窝网接入设备进行安全认证。

本发明实施例提供的方案，通过蜂窝网接入设备确定密钥标识，然后由蜂窝网接入设备将确定的所述密钥标识直接发送给所述UE以及所述非蜂窝网接入设备。UE和非蜂窝网接入设备均获取到该密钥标识，从而UE与非蜂窝网接入设备直接通过该密钥标识对应的密钥进行安全认证即可，认证时间短，信令开销小。

可选地，蜂窝网接入设备将密钥标识通过逻辑功能实体发送给非蜂窝接入设备，具体的，逻辑功能实体与非蜂窝接入设备之间通过私有接口实现通信，本发明不做限定。

可选地，蜂窝网接入设备在发送密钥标识给UE时，将非蜂窝网接入设备的标识与密钥标识关联发送，具体可以以表格的形式发送。或者可以将非蜂窝网的标识与密钥标识分开发送，例如：针对各个非蜂窝网接入设备确定的密钥标识相同，则只需将一个密钥标识发送给UE即可。

蜂窝网接入设备发送密钥标识给非蜂窝网接入设备，在UE关联该非蜂窝网接入设备时，非蜂窝网接入设备只需确定UE发送的关联请求中携带的密钥标识与自身保存的密钥标识是否相同，在相同时，UE与非蜂窝网接入设备使用密钥标识对应的密钥进行四次握手认证。

其中，非蜂窝网接入设备的标识可以是非蜂窝网接入设备的服务集标识符(英文：Service Set Identifier，简称：SSID)或者扩展服务器标识符(英文：Extended service set Identifier，简称：ESSID或者基本服务集标识符(英文： Basic Service Set Identifier，简称：BSSID)。其中非蜂窝网接入设备的BSSID也是非蜂窝网接入设备的媒体接入控制(英文：Medium Access Control，简称：MAC)地址。UE的标识可以是UE的WLAN的MAC地址。

具体的，蜂窝网接入设备在发送密钥标识给UE时，可以将密钥标识单独发送，也可以包括在成对密钥安全联盟(英文：Pairwise Master Key Security Association，简称：PAKSA)信息中发送。也可以在LWA命令消息中发送。或者其他新定义的消息，该消息用于指示UE进行LWA。

蜂窝网接入设备在发送密钥标识给非蜂窝网接入设备时，可以将密钥标识单独发送。当逻辑功能实体与非蜂窝网接入设备为同一节点时，密钥标识也可以携带在蜂窝网接入设备向逻辑功能实体的用户面GPRS隧道协议(英文：User plane of GPRS Tunneling Protocol，简称：GTP-U)隧道建立消息中发送，还可以携带在其他新定义的消息中发送。若逻辑功能实体与非蜂窝网接入设备不为同一节点时，蜂窝网接入设备将密钥标识携带在GTP-U隧道建立消息中发送给逻辑功能实体，然后由逻辑功能实体发送给非蜂窝网接入设备。

可选地，蜂窝网接入设备还可以将以下至少一项发送给所述UE和/或所述非蜂窝网接入设备：

生命周期、认证方式指示信息。

其中，所述生命周期用于指示所述密钥标识对应的密钥和所述密钥标识的有效期，所述认证方式指示信息用于指示UE采用的认证类型(authentication type)，上述认证类型可以是认证密钥管理协议(英文：Authentication and Key Management Protocol，简称：AKMP)规定的认证类型，例如802.1X EAP AKA缓存方式。

具体的，可以将上述至少一项均包括在PSKMA中发送，或者与密钥标识携带在同一消息中发送。

可选地，密钥标识对应的密钥可以但不仅限于通过以下方式确定：

第一种实现方式：

密钥标识对应的密钥可以由蜂窝网接入设备确定。并在确定后，蜂窝网接入设备将密钥以及密钥标识关联后发送给UE以及非蜂窝网接入设备。因此，密钥与密钥标识可以包括在PSKMA中发送，还可以携带同一消息中发送，具体消息可以参照前面所述，本发明实施例在此不再赘述。

蜂窝网接入设备确定的密钥可以是UE与蜂窝网接入设备之间的共享密钥，例如keNB、Krrc.int、krrc.enc、Kup.enc、Kup.int等中的一个密钥。还可以是根据上述这些密钥中的一个或多个推演出来的密钥。

除密钥标识可以由蜂窝网接入设备基于UE的标识以及非蜂窝网接入设备的标识确定或者仅基于UE的标识确定之外，还可以通过密钥、UE的标识、非蜂窝网接入设备的标识确定或者通过密钥、UE的标识确定。

例如：PMKID＝HMAC-SHA1-128(PMK，“PMK_name”|MAC_AP|MAC_UE)。

其中，PMKID表示密钥标识，PMK表示密钥，PMK_name表示密钥名称，MAC_UE表示UE标识，即UE在WLAN的MAC地址。MAC_AP表示非蜂窝网接入设备的标识，即非蜂窝网接入设备的MAC地址。HMAC是密钥相关的哈希运算消息认证码(英文：Hash-based Message Authentication Code)。SHA1是指安全哈希算法(英文：Secure Hash Algorithm)。

第二种实现方式：

密钥标识对应的密钥还可以是：蜂窝网接入设备以及UE基于预定推演规则确定该UE关联非蜂窝网接入设备的密钥。然后蜂窝网接入设备将确定的密钥发送给非蜂窝网接入设备。预定推演规则可以是预先由UE和蜂窝网接入设备协商确定的。

具体的，蜂窝网接入设备基于预定推演规则确定UE关联非蜂窝网接入设备的密钥，然后确定该密钥对应的密钥标识。然后将密钥标识以及密钥发送给非蜂窝网接入设备。并将密钥标识发送给UE。UE在关联非蜂窝网接入设备之前，首先根据预定推演规则确定密钥标识对应的密钥。

UE向非蜂窝网接入设备发送关联请求，并在关联请求中携带密钥标识；然后非蜂窝网接入设备确定接收到的UE发送的密钥标识与自身存储的密钥标识相同。则UE和非蜂窝网接入设备基于密钥标识对应的密钥进行四次握手流程。在四次握手认证通过后，蜂窝网接入设备可以通过非蜂窝网接入设备与UE进行多流汇聚的数据传输。

第三种实现方式：

蜂窝网接入设备使用UE与蜂窝网接入设备的共享密钥基于推演规则推演出密钥标识，然后由蜂窝网接入设备将推演规则发送给UE和非蜂窝网接入设备，并将蜂窝网接入设备与UE的共享密钥发送给非蜂窝网接入设备。然后在UE和非蜂窝网接入设备接收到密钥标识后，基于相同的推演规则根据所述共享密钥推演密钥标识对应的密钥，因此推演得到的密钥相同。

然后UE向非蜂窝网接入设备发送关联请求，并在关联请求中携带密钥标识；然后非蜂窝网接入设备确定接收到的UE发送的密钥标识与自身存储的密钥标识相同。则UE和非蜂窝网接入设备基于密钥标识对应的密钥进行四次握手流程。在四次握手认证通过后，蜂窝网接入设备可以通过非蜂窝网接入设备与UE进行多流汇聚的数据传输。

在其中一个实施例中，非蜂窝网接入设备和逻辑功能实体为同一个节点。其中，非蜂窝网接入设备和逻辑功能实体为同一个节点可以是非蜂窝网接入设备与逻辑功能实体的功能由一个设备实现，或者可以是逻辑功能实体嵌入在非蜂窝网接入设备中，若是逻辑功能实体嵌入在非蜂窝网接入设备中，则逻辑功能实体与非蜂窝网接入设备存在内部接口，两者通过内部接口进行信息交互。

蜂窝网接入设备为UE关联非蜂窝网接入设备确定密钥标识可以通过以下方式：

蜂窝网接入设备根据UE发送的测量报告确定UE需要关联的非蜂窝网接入设备。其中，测量报告中包括UE所在的WLAN网的信号质量，蜂窝网接入设备为UE选择质量较好的WLAN网的非蜂窝网接入设备。

具体的，UE可以在接收到蜂窝网接入设备发送的测量配置请求消息后，对自身所在的WLAN网的信号质量进行测量，并将由测量结果形成的测量报告发送给蜂窝网接入设备。

蜂窝网接入设备确定为UE选择的非蜂窝网接入设备所对应的密钥标识，所述密钥标识用于指示所述UE基于该密钥标识对应的密钥与该非蜂窝网接入设备进行安全认证。

其中，密钥标识对应的密钥的确定方式可以参照上述第一种～第三种实现方式的中的任意一种，本发明实施例在此不再赘述。

然后蜂窝网接入设备将确定的为UE选择的非蜂窝网接入设备对应的密钥标识发送给该非蜂窝网接入设备。

在其中一个实施例中，若非蜂窝网接入设备和逻辑功能实体不为同一个节点时，蜂窝网接入设备为UE关联非蜂窝网接入设备确定密钥标识可以通过以下方式：

蜂窝网接入设备确定所述UE待关联的非蜂窝网接入设备所属的逻辑功能实体；蜂窝网接入设备确定所述逻辑功能实体所管理的每一个非蜂窝网接入设备。然后蜂窝网接入设备针对所述每一个非蜂窝网接入设备分别执行：确定每一个非蜂窝网接入设备所对应的密钥标识，所述密钥标识用于指示所述UE基于该密钥标识对应的密钥与该非蜂窝网接入设备进行安全认证。

其中，UE待关联的非蜂窝网接入设备由蜂窝网接入设备为UE选择。选择待关联的非蜂窝网接入设备是为了确定逻辑功能实体，从而获取到逻辑功能实体所管理的各个非蜂窝网接入设备。具体的选择方式可以如下：UE可以在接收到蜂窝网接入设备发送的测量配置请求消息后，对自身所在的WLAN网的信号质量进行测量，并将由测量结果形成的测量报告发送给蜂窝网接入设备。蜂窝网接入设备根据UE发送的测量报告确定UE需要关联的非蜂窝网接入设备。例如蜂窝网接入设备为UE选择质量较好的WLAN网的非蜂窝网接入设备。

然后在蜂窝网接入设备将确定的所述密钥标识发送给所述UE以及所述非蜂窝网接入设备时，通过以下方式实现：

所述蜂窝网接入设备将确定的每一个非蜂窝网接入设备对应的密钥标识通过逻辑功能实体分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备，并将密钥标识列表发送给UE，所述密钥标识列表中包括所述逻辑功能实体所管理的每一个非蜂窝网接入设备的标识以及每一个非蜂窝网接入设备对应的密钥标识。

由此，UE在关联非蜂窝网接入设备时，选择一个非蜂窝网接入设备，确定选择的非蜂窝网接入设备是否与密钥标识列表中的非蜂窝网接入设备的标识相同，若相同，则将该非蜂窝接入设备作为目标非蜂窝网接入设备。

在其中一个实施例中，若非蜂窝网接入设备和逻辑功能实体不为同一个节点时，蜂窝网接入设备为UE关联非蜂窝网接入设备确定密钥标识还可以通过以下方式：

蜂窝网接入设备确定所述UE待关联的非蜂窝网接入设备，并确定该非蜂窝网接入设备所对应的密钥标识，所述密钥标识用于指示所述UE基于该密钥标识对应的密钥与该非蜂窝网接入设备进行安全认证。

其中，UE待关联的非蜂窝网接入设备由蜂窝网接入设备为UE选择。具体的选择方式可以如下：UE可以在接收到蜂窝网接入设备发送的测量配置请求消息后，对自身所在的WLAN网的信号质量进行测量，并将由测量结果形成的测量报告发送给蜂窝网接入设备。蜂窝网接入设备根据UE发送的测量报告确定UE需要关联的非蜂窝网接入设备。例如蜂窝网接入设备为UE选择质量较好的WLAN网的非蜂窝网接入设备。

所述蜂窝网接入设备确定该非蜂窝网接入设备所属的逻辑功能实体，然后将该非蜂窝网接入设备对应的密钥标识通过逻辑功能实体发送给该非蜂窝网接入设备，并将该非蜂窝网接入设备对应的密钥标识发送给UE。

由此，UE在关联非蜂窝网接入设备时，根据蜂窝网接入设备指示的非蜂窝网接入设备进行关联。该蜂窝网接入设备指示的非蜂窝网接入设备为前面所述的密钥标识多对应的非蜂窝网接入设备。

所述蜂窝网接入设备确定所述UE待关联的非蜂窝网接入设备所属的逻辑功能实体；所述逻辑功能实体管理包括所述待关联的非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；

所述蜂窝网接入设备为所述至少一个非蜂窝网接入设备确定密钥标识，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥标识相同，所述密钥标识用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。

所述蜂窝网接入设备将确定的密钥标识通过逻辑功能实体分别发送给各个非蜂窝网接入设备的标识对应的非蜂窝网接入设备以及所述UE。

本发明实施例还提供了一种接入认证方法，如图2所示，该方法包括：

步骤201，UE接收到蜂窝网接入设备发送的密钥标识。

其中，所述密钥标识用于指示所述UE基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证。

步骤202，所述UE确定所述密钥标识对应的密钥。

步骤203，所述UE根据接收到的所述密钥标识以及确定的所述密钥与所述非蜂窝网接入设备进行安全认证。

可选地，所述UE确定所述密钥标识对应的密钥，可以通过但不仅限于如下方式：

第一种实现方式：

所述UE接收到所述蜂窝网接入设备发送的所述密钥标识对应的密钥。

具体的，蜂窝网接入设备在发送密钥标识时，同时发送该密钥标识对应的密钥。当然密钥与密钥标识可以分开发送，本发明实施例不作具体限定。

第二种实现方式：

所述UE与所述蜂窝网接入设备协商确定所述密钥标识对应的密钥。

具体的，UE在接收到蜂窝网接入设备发送的密钥标识时，可以与蜂窝网接入设备协商出确定该密钥标识对应的密钥方式，然后基于确定的方式UE确定出该密钥标识对应的密钥。或者UE获取确定密钥标识对应的密钥的推演规则，然后UE基于推演规则确定该密钥标识对应的密钥。

第三种实现方式：

所述UE根据预定推演规则确定所述密钥标识对应的密钥。

其中，该预定推演规则可以预先由蜂窝网接入设备发送，或者预先UE与蜂窝网接入设备协商得到推演规则，然后UE将推演规则保存。该预定推演规则与蜂窝网接入设备为该UE确定密钥标识对应的密钥所使用的推演规则相同。蜂窝网接入设备在根据该预定推演规则推演得到密钥后，将该得到的密钥发送给非蜂窝网接入设备。

从而，UE向非蜂窝网接入设备发送携带密钥标识的关联请求时，非蜂窝网接入设备确定接收到的密钥标识与自身保存的密钥标识是否相同，若相同，则UE与非蜂窝网接入设备基于该密钥标识对应的密钥进行四次握手认证。

可选地，UE接收到蜂窝网接入设备发送的用于所述UE关联非蜂窝网接入设备的密钥标识，包括：

所述UE接收到所述蜂窝网接入设备发送的密钥标识列表，所述密钥标识列表中包括所述UE待选择关联的各个非蜂窝网接入设备的标识以及各个非蜂窝网接入设备对应的密钥标识。

其中，所述各个非蜂窝网接入设备的标识为蜂窝网接入设备指示的非蜂窝接入设备组内的非蜂窝网接入设备。

所述UE基于接收到的所述密钥标识对应的密钥向所述非蜂窝网接入设备进行安全认证，包括：

所述UE确定所述密钥标识列表中包括目标非蜂窝网接入设备；

所述UE根据密钥标识列表中的所述目标非蜂窝网接入设备的标识对应的密钥标识以及密钥标识对应的密钥与所述目标非蜂窝网接入设备进行安全认证。

可选地，所述UE接收到所述蜂窝网接入设备发送的一个密钥标识，且该密钥标识与多个非蜂窝网接入设备的标识相对应。其中，所述各个非蜂窝网接入设备的标识为蜂窝网接入设备指示的非蜂窝接入设备组内的非蜂窝网接入设备。

所述UE确定多个非蜂窝网接入设备的标识中存在目标非蜂窝网接入设备的标识；

所述UE根据所述目标非蜂窝网接入设备的标识对应的密钥标识以及密钥标识对应的密钥与所述目标非蜂窝网接入设备进行安全认证。

可选地，所述UE接收到所述蜂窝网接入设备发送的一个密钥标识，且该密钥标识与一个非蜂窝网接入设备的标识相对应。则UE确定该非蜂窝网接入设备为目标非蜂窝网接入设备。

通过本发明实施例提供的方案，UE接收到蜂窝网接入设备发送的密钥标识，然后UE确定所述密钥标识对应的密钥。UE直接根据接收到的所述密钥标识以及确定的所述密钥与所述非蜂窝网接入设备进行安全认证，认证时间短，信令开销小。

本发明实施例还提供了一种接入认证方法，如图3所示，该方法包括：

步骤301，非蜂窝网接入设备接收到蜂窝网接入设备发送的密钥标识；所述密钥标识用于指示所述非蜂窝网接入设备对关联自身的UE进行安全认证；

步骤302，所述非蜂窝网接入设备在接收到所述UE发起的关联所述非蜂窝网接入设备的关联请求时，基于所述密钥标识对应的密钥与所述UE进行安全认证。

具体的，UE向非蜂窝网接入设备发送关联请求，并在关联请求中携带密钥标识；然后非蜂窝网接入设备确定接收到的UE发送的密钥标识与自身存储的密钥标识相同。则UE和非蜂窝网接入设备基于密钥标识对应的密钥进行四次握手流程。在四次握手认证通过后，蜂窝网接入设备可以通过非蜂窝网接入设备与UE进行多流汇聚的数据传输。

通过本发明实施例提供的方案，非蜂窝网接入设备接收到蜂窝网接入设备发送的密钥标识；所述密钥标识用于指示所述认证单元对关联自身的用户设备UE进行安全认证；所述密钥标识用于指示用户设备UE基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证。UE和非蜂窝网接入设备均获取到该密钥标识，从而UE与非蜂窝网接入设备直接通过该密钥标识对应的密钥进行安全认证即可，认证时间短，信令开销小。

下面结合实例对本发明实施例作具体说明。下面实例中以蜂窝网为LTE，蜂窝网接入设备为eNB，非蜂窝网为WLAN，非蜂窝网接入设备为AP，逻辑功能实体为WT为例进行说明。

参见图4A和图4B，为本发明实施例的提供的分流汇聚的网络系统结构示意图。在该实施例中，AP支持协助传输LTE数据；另外，在本发明实施例的网络系统中，还可以包括用于管理AP的WT，该WT与AP可以是同一个节点，如图4A所示；该WT与AP也可以是不同的节点，如图4B所示。其中，UE与eNB和WT三者可以通过无线方式连接，例如，采用空口通信。若WT与AP为不同的节点，两者为有线方式连接。

参照图5所示，为本发明实施例提供的接入认证方法示意图。其中，图5中可选的步骤用虚线进行表示。

步骤501，eNB为UE确定PMKID。PMKID是一种密钥标识。该PMKID用于UE与AP根据该PMKID对应的PMK进行安全认证。

步骤502，eNB发送PMKID给UE。

其中PMKID可以单独发送，也可以包括在PMKSA信息中发送；PMKID也可以在eNB给UE下发的LWA命令消息中发送，或者其他新定义的消息，该消息可承载在无线资源控制(英文：Radio Resource Control，简称：RRC) 连接重配置消息中，用于指示UE进行LWA。RRC连接重配置完成后，向eNB发送RRC连接重配置完成消息。

LWA请求消息中在包括PMKID的基础上，还可以包括WLAN AP的标识或者WLAN AP group，其中，AP的标识可以是BSSID/ESSID/SSID，AP group中包括WLAN AP的标识列表，AP的标识可以是BSSID/ESSID/SSID。

其中，PMKSA信息可以在LWA命令消息中发送，或者其他新定义的消息。

本发明实施例以PMKID包括在PMKSA中，且PMKSA在LWA命令消息中发送为例进行说明。

所述PMKSA中包括PMKID，还可以包括：

(1)AP的MAC地址/AP group。

(2)PMK；PMK是eNB辅助WLAN认证的密钥。PMK可以是eNB与UE共享密钥，例如：keNB、Krrc.int、krrc.enc、Kup.enc、Kup.int等中的一个密钥。还可以是根据上述这些密钥中的一个或多个推演出来的密钥。PMK为可选项。

若PMKSA中不包括PMK，eNB可以预先将推演密钥的推演规则发送给UE，或者与UE协商好使用共享密钥作为PMK。

(3)生命周期(lifetime)，用于指示PMKID的有效期以及PMK的有效期。Lifetime为可选项。

(4)认证方式指示信息，所述认证方式指示信息用于指示UE采用的认证类型，上述认证类型可以是AKMP规定的认证类型，例如802.1X EAP AKA缓存方式。

(5)UE的WLAN的MAC地址。

其中，PMKID可以由eNB基于UE的标识确定。UE的标识可以是UE的WLAN MAC地址。AP的标识确定或者仅基于UE的标识确定，还可以通过密钥PMK、UE的标识、AP的标识确定或者通过密钥PMK、UE的标识确定。对于PMKID基于UE的标识确定时，eNB为UE都维护一个计数器counter，以保证每个UE的PMKID是不同的。

例如：PMKID＝HMAC-SHA1-128(PMK，“PMK_name”|MAC_AP|MAC_UE)。

其中，PMK_name表示密钥名称，MAC_UE表示UE标识，即UE在WLAN的MAC地址。MAC_AP表示AP的标识，即AP的MAC地址。HMAC是密钥相关的哈希运算消息认证码(英文：Hash-based Message Authentication Code)。SHA1是指安全哈希算法(英文：Secure Hash Algorithm)。

可选地，在步骤501之前，还可以包括：eNB获取UE的标识，例如UE的WLAN MAC地址。具体的，可以通过eNB主动请求UE上报，或者在UE能力上报消息中携带该标识。

可选地，在步骤501之前，还可以包括：

步骤501a：eNB向UE发送测量配置请求消息。该测量配置请求消息用于请求UE测量UE所在的WLAN网的信号质量。UE对WLAN网的信号质量进行测量，并得到测量结果。

步骤501b，UE将测量结果上报给eNB。测量结果中包括WLAN的AP的标识，以及AP标识对应的信号质量值。

从而eNB根据测量结果确定进行LWA的数据传输的WT。具体的，可根据测量结果选择信号最强的AP作为UE待关联的AP，然后再确定该AP所归属的WT，把该WT作为进行LWA数据传输的WT。

在步骤501中，eNB可以为该UE针对WT下的每个AP确定一个相同的密钥标识，或者也可以为该UE针对WT下的每个AP group下的每个AP确定一个相同的密钥标识，或者也可以为UE针对WT下的所有AP group下的每个AP确定不同的密钥标识。并且在密钥标识相同时，密钥也相同；密钥标识不同，密钥也不同。

步骤503，eNB发送PMKID给WT。

WT可以通过WT与AP的私有接口将PMKID发给AP。

其中PMKID可以单独发送，还可以携带在GTP-U隧道建立消息中发送给WT。若使用GTP-U隧道建立消息发送PMKID，则步骤503需要在步骤502之前实施，若使用其他方式发送PMKID，步骤503和步骤502在实施时间上不分先后顺序。

除此之外，还可以将PMKID对应的PMK发送给WT，所述密钥也可以携带在GTP-U隧道建立消息中发送给WT。

其中，PMK是eNB辅助WLAN认证的密钥。PMK可以是eNB与UE共享密钥，例如：keNB、Krrc.int、krrc.enc、Kup.enc、Kup.int等中的一个密钥。还可以是根据上述这些密钥中的一个或多个推演出来的密钥。

可选地，在步骤503之前，还可以包括：

步骤503a，WT向eNB发送密钥请求消息，该密钥请求消息用于请求获取密钥和PMKID。其中，步骤503a与步骤501和步骤502在时间上不分先后顺序。图5仅作为一种示例，并不对时间的先后顺序进行限定。

然后在步骤503中，eNB可以将PMKID以及密钥推演规则，或PMKID以及PMK携带在密钥请求响应消息中发送给WT。

当然，eNB可以主动向WT发送PMKID以及密钥推演规则，或PMKID以及PMK。

步骤504，UE向WLAN AP发送关联请求消息。该关联请求消息中携带PMKID。

具体的，若eNB向UE指示的是AP group的标识列表时，则UE在AP group里自主选择一个AP接入；若eNB向UE指示的是AP的标识时，则UE直接接入所指示的AP。

其中，UE在关联WLAN AP之前，首先判断是否有一个有效目标AP的PMK，即通过检查PMKSA中的AP的BSSID和待关联的AP的BSSID是否匹配，如果匹配，则使用该AP的BSSID对应的PMK。通过将PMKID放入到关联请求消息中，WLAN AP接收到关联请求中包含的PMKID后，AP检查PMKSA中是否有相同的PMKID，若相同，则UE和AP采用所述PMK进行四次握手的认证。

可选地，还可以包括：

步骤505，UE向eNB发送用于指示LWA成功或者失败的消息。

eNB在接收UE发送的LWA成功的消息时，还包括：

步骤506，eNB经由AP与UE进行LWA的数据传输。

利用本发明实施例提供的方案，通过eNB确定密钥标识，然后eNB将确定的所述密钥标识直接发送给所述UE以及AP。UE和AP均获取到该密钥标识，从而UE与AP直接通过该密钥标识对应的密钥进行安全认证即可，认证时间短，信令开销小。

参见图6，为本发明实施例提供的另一接入认证方法示意图。

步骤601：eNB下发LWA启动命令消息到UE。例如active AP消息，用于指示UE接入某个AP，LWA启动命令消息中可指示WLAN AP的BSSID。LWA启动命令消息中还可以包括UE的安全策略。安全策略为LWA type，该LWA type为新增加的认证类型。

在步骤601之前，eNB可以指示UE对WLAN信号质量进行测量和上报。eNB根据UE发送的测量上报结果决定增加合适的WLAN网络进行LWA数据传输。通常，eNB根据蜂窝网络负荷和/或UE的签约信息来决定是否指示UE进行WLAN信号质量的测量和上报。

步骤602：UE通过侦听信标(beacon)帧或发送探寻(Probe)帧的方式发现指定的AP。其中AP在beacon或probe确认字符(英文：Acknowledgement，简称：ACK)帧中携带强健安全网络(英文：Robust Security Network，简称：RSN)信元。RSN信元指出指定的AP支持的安全策略，安全策略为新增加的认证类型LWA Type。

其中，RSN中包括密钥自动管理(英文：Automatic Key Management，简称：AKM)信元，该AKM信元用于指示认证类型。

还可以在步骤602之前，eNB通过eNB和WLAN之间的Xw接口向AP发送指示信息，该指示信息用于指示将MSA Type作为唯一认证方式。

步骤603：UE和AP之间开启认证过程(open authentication)。

步骤604：UE向AP发起关联请求(Association request)消息。该关联请求消息中包括UE所期望的安全策略，比如认证类型为LWA Type，至此UE和AP完成安全策略的协商。

步骤605：AP向eNB发送密钥请求消息。eNB在接收到密钥请求消息后，根据接入网侧的密钥以及预定推演规则推演新的密钥Key，并通过响应消息把推演得到的密钥Key发给AP。

步骤606：AP返回关联响应消息到UE。UE与AP完成关联。

步骤607：UE收到AP的关联响应消息后，也根据预定推演规则推演密钥Key。然后根据推演得到的密钥Key与AP完成WLAN的四次握手安全认证过程。

步骤608：UE向eNB发送LWA确认消息。

步骤609：eNB和UE之间通过AP进行LWA数据传输。

基于与图1所示的方法实施例同样的发明构思，本发明实施例还提供了一种接入认证装置，该装置可以设置于蜂窝网接入设备，或者可以是蜂窝网接入设备本身，还可以区别于蜂窝网接入设备的独立装置但可以与蜂窝网接入设备进行通信等等。如图7所示，该接入认证装置包括：

确定单元701，用于确定密钥标识；

发送单元702，用于将所述确定单元701确定的所述密钥标识分别发送给UE以及非蜂窝网接入设备，所述密钥标识用于指示所述UE基于所述密钥标识对应的密钥与所述非蜂窝网接入设备进行安全认证。

可选地，所述确定单元701在确定密钥标识时，可以通过以下方式实现：

确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；并针对所述逻辑功能实体管理的每一个非蜂窝网接入设备分别执行以下步骤：确定所述每一个非蜂窝网接入设备的标识所对应的密钥标识。

所述发送单元702具体可以通过如下方式将所述确定单元701确定的所述密钥标识分别发送给UE以及非蜂窝网接入设备，包括：将所述确定单元 701确定的每一个非蜂窝网接入设备对应的密钥标识分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备，并将密钥标识列表发送给所述UE，所述密钥标识列表中包括所述逻辑功能实体管理的每一个非蜂窝网接入设备的标识以及每一个非蜂窝网接入设备对应的密钥标识。

可选地，所述确定单元701在确定密钥标识时，还可以通过以下方式实现：

确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；并为所述逻辑功能实体所述至少一个非蜂窝网接入设备确定密钥标识，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥标识相同，所述密钥标识用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。

所述发送单元702将所述确定单元701确定的所述密钥标识分别发送给各个非蜂窝网接入设备的标识对应的非蜂窝网接入设备以及所述UE。

可选地，所述确定单元701还用于确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证。

则所述发送单元702将所述确定单元701确定的所述密钥和所述密钥标识关联后发送给所述UE以及非蜂窝网接入设备。

可选地，所述确定单元701基于预定推演规则确定密钥；所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；所述预定推演规则与所述UE为自身关联非蜂窝网接入设备确定密钥所使用的推演规则相同。

则所述发送单元702，具体用于将所述确定单元701确定的所述密钥和所述密钥标识关联后发送给所述非蜂窝网接入设备，并将所述密钥标识发送给所述UE。

可选地，所述发送单元702，还用于将以下至少一项发送给所述UE和/或所述非蜂窝网接入设备：

生命周期、认证方式指示信息；

其中，所述生命周期用于指示所述密钥和所述密钥标识的有效期，所述认证方式指示信息用于指示所述UE采用的认证类型；上述认证类型可以是AKMP规定的认证类型，例如802.1X EAP AKA缓存方式。

需要说明的是，接入认证装置和图1所示的实施例中提供的接入认证方法是基于同一发明构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

基于与图2所示的方法实施例同样的发明构思，本发明实施例还提供了一种接入认证装置，该装置可以设置于用户设备，或者可以是用户设备本身。如图8所示，该装置包括：

接收单元801、确定单元802以及认证单元803。

所述接收单元801，用于接收到蜂窝网接入设备发送的密钥标识，所述密钥标识用于指示所述认证单元基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证。

所述确定单元802，用于确定所述接收单元801接收到的所述密钥标识对应的密钥。

所述认证单元803，用于根据所述接收单元801接收到的所述密钥标识以及所述确定单元802确定的所述密钥与所述非蜂窝网接入设备进行安全认证。

可选地，所述确定单元802，具体用于在所述接收单元801接收到所述蜂窝网接入设备发送的所述密钥标识对应的密钥时，确定所述密钥标识对应的密钥；或者，与所述蜂窝网接入设备协商确定所述密钥标识对应的密钥；或者，根据预定推演规则确定所述密钥标识对应的密钥。

可选地，所述接收单元801，具体用于接收所述蜂窝网接入设备发送的密钥标识列表，所述密钥标识列表中包括所述UE待选择关联的各个非蜂窝网接入设备的标识以及各个非蜂窝网接入设备对应的密钥标识。

所述确定单元802，还用于确定目标非蜂窝网接入设备。

所述认证单元803，具体用于根据所述密钥标识列表中的目标非蜂窝网接入设备的标识对应的密钥标识以及确定的所述密钥与所述目标非蜂窝网接入设备进行安全认证，其中，所述目标非蜂窝网接入设备由所述确定单元或所述蜂窝网接入设备确定。

需要说明的是，接入认证装置和图2所示的实施例中提供的接入认证方法是基于同一发明构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

通过本发明实施例提供的方案，UE接收到蜂窝网接入设备发送的密钥标识，然后UE确定所述密钥标识对应的密钥。UE直接根据接收到的所述密钥标识以及确定的所述密钥与所述非蜂窝网接入设备进行安全认证。认证时间短，信令开销小。

基于与图3所示的方法实施例同样的发明构思，本发明实施例还提供了一种接入认证装置，该装置可以设置于非蜂窝网接入设备中，还可以是非蜂窝网接入设备本身，或者可以是独立设备但能与非蜂窝网接入设备进行通信等等。如图9所示，该设备包括：

接收单元以901及认证单元902。

所述接收单元901，用于接收到蜂窝网接入设备发送的密钥标识；所述密钥标识用于指示所述认证单元对关联自身的用户设备UE进行安全认证；

所述认证单元902，用于在所述接收单元901接收到所述UE发起的关联所述认证单元所属的非蜂窝网接入设备的关联请求时，基于所述密钥标识对应的密钥与所述UE进行安全认证。

需要说明的是，接入认证装置和图3所示的实施例中提供的接入认证方法是基于同一发明构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

通过本发明实施例提供的方案，接收单元接收到蜂窝网接入设备发送的密钥标识；所述密钥标识用于指示所述认证单元对关联自身的UE进行安全认证；所述密钥标识用于指示UE基于该密钥标识对应的密钥与认证单元所属的接入认证装置进行安全认证。UE和该接入认证装置均获取到该密钥标识，从而UE与该接入认证装置直接通过该密钥标识对应的密钥进行安全认证即可，认证时间短，信令开销小。

基于与图1所示的方法实施例同样的发明构思，本发明实施例还提供了一种蜂窝网接入设备，如图10所示，该设备包括收发器1001、处理器1002、存储器1003。收发器1001、处理器1002以及存储器1003相互连接。本发明实施例中不限定上述部件之间的具体连接介质。本发明实施例在图10中以存储器1003、处理器1002以及收发器1001之间通过总线1004连接，总线在图10中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例中存储器1003，用于存储处理器1002执行的程序代码，可以是易失性存储器(英文：volatile memory)，例如随机存取存储器(英文：random-access memory，缩写：RAM)；存储器1003也可以是非易失性存储器(英文：non-volatile memory)，例如只读存储器(英文：read-only memory，缩写：ROM)，快闪存储器(英文：flash memory)，硬盘(英文：hard disk drive，缩写：HDD)或固态硬盘(英文：solid-state drive，缩写：SSD)、或者存储器1003是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1003可以是上述存储器的组合。

本发明实施例中处理器1002，可以是一个中央处理单元(英文：central processing unit，简称CPU)。

处理器1002确定密钥标识，然后收发器1001用于将处理器1002确定的所述密钥标识分别发送给UE以及非蜂窝网接入设备，所述密钥标识用于指示所述UE基于所述密钥标识对应的密钥与所述非蜂窝网接入设备进行安全认证。

可选地，所述处理器1002在确定密钥标识时，可以通过以下方式实现：

所述收发器1001具体可以通过如下方式将所述处理器1002确定的所述密钥标识分别发送给UE以及非蜂窝网接入设备，包括：将所述处理器1002确定的每一个非蜂窝网接入设备对应的密钥标识分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备，并将密钥标识列表发送给所述UE，所述密钥标识列表中包括所述逻辑功能实体管理的每一个非蜂窝网接入设备的标识以及每一个非蜂窝网接入设备对应的密钥标识。

可选地，所述处理器1002在确定密钥标识时，还可以通过以下方式实现：

所述收发器1001将所述处理器1002确定的所述密钥标识分别发送给各个非蜂窝网接入设备的标识对应的非蜂窝网接入设备以及所述UE。

可选地，所述处理器1002还用于确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证。

则所述收发器1001将所述处理器1002确定的所述密钥和所述密钥标识关联后发送给所述UE以及非蜂窝网接入设备。

可选地，所述处理器1002基于预定推演规则确定密钥；所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；所述预定推演规则与所述UE为自身关联非蜂窝网接入设备确定密钥所使用的推演规则相同。

则所述收发器1001具体用于将所述处理器1002确定的所述密钥和所述密钥标识关联后发送给所述非蜂窝网接入设备，并将所述密钥标识发送给所述UE。

可选地，所述处理器1002还用于将以下至少一项发送给所述UE和/或所述非蜂窝网接入设备：

生命周期、认证方式指示信息；

其中，所述生命周期用于指示所述密钥和所述密钥标识的有效期，所述认证方式指示信息用于指示所述UE采用的认证类型，上述认证类型可以是认证密钥管理协议规定的认证类型，例如802.1X EAP AKA缓存方式。

需要说明的是，蜂窝网接入设备和图1所示的实施例中提供的接入认证方法以及图7所示的接入认证装置是基于同一发明构思的，由于方法、装置以及设备解决问题的原理相似，因此设备、装置与方法的实施可以相互参见，重复之处不再赘述。

基于与图2所示的方法实施例同样的发明构思，本发明实施例还提供了一种用户设备，如图11所示，该设备包括收发器1101、处理器1102、存储器1103。收发器1101、处理器1102以及存储器1103相互连接。本发明实施例中不限定上述部件之间的具体连接介质。本发明实施例在图11中以存储器1103、处理器1102以及收发器1101之间通过总线1104连接，总线在图11中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例中存储器1103，用于存储处理器1102执行的程序代码，可以是易失性存储器，例如随机存取存储器存储器1103也可以是非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘、或者存储器1103是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1103可以是上述存储器的组合。

本发明实施例中处理器1102，可以是一个CPU。

所述收发器1101，用于接收到蜂窝网接入设备发送的密钥标识，所述密钥标识用于指示所述认证单元基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证。

所述处理器1102用于确定所述收发器1101接收到的所述密钥标识对应的密钥。根据所述收发器1101接收到的所述密钥标识以及所述处理器1102确定的所述密钥与所述非蜂窝网接入设备进行安全认证。

可选地，所述处理器1102具体用于在所述收发器1101接收到所述蜂窝网接入设备发送的所述密钥标识对应的密钥时，确定所述密钥标识对应的密钥；或者，与所述蜂窝网接入设备协商确定所述密钥标识对应的密钥；或者，根据预定推演规则确定所述密钥标识对应的密钥。

可选地，所述收发器1101具体用于接收所述蜂窝网接入设备发送的密钥标识列表，所述密钥标识列表中包括所述UE待选择关联的各个非蜂窝网接入设备的标识以及各个非蜂窝网接入设备对应的密钥标识。

所述处理器1102还用于确定目标非蜂窝网接入设备。根据所述密钥标识列表中的目标非蜂窝网接入设备的标识对应的密钥标识以及确定的所述密钥与所述目标非蜂窝网接入设备进行安全认证，其中，所述目标非蜂窝网接入设备由所述确定单元或所述蜂窝网接入设备确定。

需要说明的是，用户设备和图2所示的实施例中提供的接入认证方法以及图8所示的接入认证装置是基于同一发明构思的，由于方法、装置以及设备解决问题的原理相似，因此设备、装置与方法的实施可以相互参见，重复之处不再赘述。

基于与图3所示的方法实施例同样的发明构思，本发明实施例还提供了一种非蜂窝网接入设备，如图12所示，该设备包括收发器1201、处理器1202、存储器1203。收发器1201、处理器1202以及存储器1203相互连接。本发明实施例中不限定上述部件之间的具体连接介质。本发明实施例在图12中以存储器1203、处理器1202以及收发器1201之间通过总线1204连接，总线在图12中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例中存储器1203，用于存储处理器1202执行的程序代码，可以是volatile memory，例如RAM；存储器1203也可以是non-volatile memory，例如ROM，快闪存储器，HDD或SSD、或者存储器1203是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1203可以是上述存储器的组合。

本发明实施例中处理器1202，可以是一个CPU。

所述收发器1201用于接收到蜂窝网接入设备发送的密钥标识；所述密钥标识用于指示所述认证单元对关联自身的用户设备UE进行安全认证；

所述处理器1202用于在所述收发器1201接收到所述UE发起的关联所述认证单元所属的非蜂窝网接入设备的关联请求时，基于所述密钥标识对应的密钥与所述UE进行安全认证。

需要说明的是，非蜂窝网接入设备和图3所示的实施例中提供的接入认证方法以及图9所示的接入认证装置是基于同一发明构思的，由于方法、装置以及设备解决问题的原理相似，因此设备、装置与方法的实施可以相互参见，重复之处不再赘述。

参见图13，是本发明实施例提供了一种接入认证系统，该系统包括：

蜂窝网接入设备1301、UE1302以及至少一个非蜂窝网接入设备1303。三者之间均可以通过无线方式进行连接。图13所示系统以包括两个非蜂窝网接入设备为例进行说明，图13仅是一种示例，并不对设备的数量以及结构等等进行具体限定。

所述蜂窝网接入设备1301确定密钥标识，所述密钥标识用于指示所述UE基于所述密钥标识对应的密钥与所述至少一个非蜂窝网接入设备中的一个非蜂窝网接入设备1303进行安全认证；并将所述密钥标识分别发送给所述UE以及所述一个非蜂窝网接入设备1303；

所述UE1302，用于接收所述蜂窝网接入设备1301发送的所述密钥标识，并基于所述密钥标识对应的密钥与所述一个非蜂窝网接入设备1303进行安全认证；

所述一个非蜂窝网接入设备1303，用于接收所述蜂窝网接入设备1301发送的所述密钥标识，并基于所述密钥标识对应的密钥与所述UE1302进行安全认证。

在其中一个可选地的实施例中，如图13所示，该系统还可以包括逻辑功能实体1304，用于管理所述至少一个非蜂窝网接入设备。比如图13所示的两个非蜂窝网接入设备1303.

所述蜂窝网接入设备1301，具体用于确定管理所述一个非蜂窝网接入设备1303的逻辑功能实体1304；针对所述逻辑功能实体1304管理的每一个非蜂窝网接入设备1303分别执行以下步骤：确定所述每一个非蜂窝网接入设备1303的标识所对应的密钥标识；将确定的每一个非蜂窝网接入设备1303对应的密钥标识分别发送给每一个非蜂窝网接入设备1303的标识对应的非蜂窝网接入设备1303，并将密钥标识列表发送给所述UE，所述密钥标识列表中包括所述逻辑功能实体1304管理的每一个非蜂窝网接入设备1303的标识以及每一个非蜂窝网接入设备1303对应的密钥标识；

所述UE1302，具体用于在接收所述蜂窝网接入设备1301发送的所述密钥标识时，接收所述蜂窝网接入设备1301发送的所述密钥标识列表；在基于所述密钥标识对应的密钥与所述一个非蜂窝网接入设备1303进行安全认证时，根据所述密钥标识列表中的目标非蜂窝网接入设备的标识对应的密钥标识以及确定的所述密钥与所述目标非蜂窝网接入设备进行安全认证，其中，所述目标非蜂窝网接入设备由所述UE1302或所述蜂窝网接入设备1301确定。

在另一个可选地实施例中，如图13所示，该系统还可以包括逻辑功能实体1304，用于管理所述至少一个非蜂窝网接入设备；

所述蜂窝网接入设备1301，具体用于确定管理所述非蜂窝网接入设备1303的逻辑功能实体1304；为所述至少一个非蜂窝网接入设备1303确定密钥标识，其中，所述至少一个非蜂窝网接入设备1303中的各个非蜂窝网接入设备1303的标识对应的密钥标识相同，所述密钥标识用于所述UE1302与非蜂窝网接入设备1303的标识对应的非蜂窝网接入设备1303进行安全认证；将确定的所述密钥标识分别发送给各个非蜂窝网接入设备1303的标识对应的非蜂窝网接入设备1303以及所述UE1302；

所述UE1302，具体用于在基于所述密钥标识对应的密钥与所述一个非蜂窝网接入设备1303进行安全认证时，根据目标非蜂窝网接入设备的标识对应的密钥标识以及确定的所述密钥与所述目标非蜂窝网接入设备进行安全认证，其中，所述目标非蜂窝网接入设备由所述UE1302或所述蜂窝网接入设备1301确定。

可选地，所述蜂窝网接入设备1301，还用于确定密钥，所述密钥用于所述UE1302与非蜂窝网接入设备1303进行安全认证；并在将确定的所述密钥标识发送给所述UE1302以及非蜂窝网接入设备1303时，将所述密钥和所述密钥标识关联后发送给所述UE1302以及非蜂窝网接入设备1303；

所述UE1302，具体用于接收所述非蜂窝网接入设备1303发送的密钥标识及密钥标识对应的密钥，并根据接收到的密钥标识及密钥与所述非蜂窝网接入设备1303进行安全认证。

可选地，所述蜂窝网接入设备1301，还用于基于预定推演规则确定密钥；所述密钥用于所述UE1302与所述非蜂窝网接入设备1303进行安全认证；并在将确定的所述密钥标识发送给所述UE1302和所述非蜂窝网接入设备1303时，将所述密钥和所述密钥标识关联后发送给所述非蜂窝网接入设备1303，并将所述密钥标识发送给所述UE1302；

所述UE1302，在接收到所述一个非蜂窝网接入设备1303发送的密钥标识时，基于所述预定推演规则确定密钥，并基于所述密钥标识及确定的所述密钥与所述非蜂窝网接入设备1303进行安全认证。

所述蜂窝网接入设备1301，还用于将以下至少一项发送给所述UE1302和/或所述非蜂窝网接入设备1303：

生命周期、认证方式指示信息；

其中，所述生命周期用于指示所述密钥和所述密钥标识的有效期，所述认证方式指示信息用于指示所述UE1302采用的认证类型，上述认证类型可以是认证密钥管理协议规定的认证类型，例如802.1X EAP AKA缓存方式。

非蜂窝网接入设备接收到蜂窝网接入设备发送的密钥标识；所述密钥标识用于指示所述认证单元对关联自身的用户设备UE进行安全认证；所述密钥标识用于指示用户设备UE基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证。UE和非蜂窝网接入设备均获取到该密钥标识，从而UE与非蜂窝网接入设备直接通过该密钥标识对应的密钥进行安全认证即可，认证时间短，信令开销小。

本发明实施例提供的接入认证系统包括的蜂窝网接入设备1301可以是如图7或图10所对应的实施例提供的蜂窝网接入设备；UE1302可以是图8或图11所对应的实施例提供的UE。非蜂窝网接入设备1303可以是如图9或图12所对应的实施例提供的非蜂窝网接入设备。因此，接入认证系统中蜂窝网接入设备1301所对应的功能还可以参阅图7或图10所对应的实施例，接入认证系统中UE1302所对应的功能还可以参阅图8或图11所对应的实施例，接入认证系统中非蜂窝网接入设备1303所对应的功能还可以参阅图9或图12所对应的实施例，重复之处不再赘述。

本发明实施例还提供了一种接入认证方法，如图14所示，该方法包括：

步骤1401，蜂窝网接入设备为非蜂窝网接入设备确定密钥，所述密钥用于用户设备UE与所述非蜂窝网接入设备进行安全认证；所述蜂窝网接入设备确定密钥的方式与所述UE确定密钥的方式相同。

其中，蜂窝网接入设备可以为该UE针对逻辑功能实体下的每个非蜂窝接入设备确定一个相同的密钥，或者也可以为该UE针对逻辑功能实体下的每个非蜂窝网接入设备组下的每个非蜂窝网接入设备确定一个相同的密钥，或者也可以为UE针对逻辑功能实体下的所有非蜂窝接入设备组下的每个非蜂窝接入设备确定不同的密钥。

蜂窝网接入设备确定的密钥可以是UE与蜂窝网接入设备之间的共享密钥，例如keNB、Krrc.int、krrc.enc、Kup.enc、Kup.int等中的一个密钥。还可以是根据上述这些密钥中的一个或多个基于推演规则推演出来的密钥。

具体的，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥可以通过如下方式实现：

第一种实现方式：

所述蜂窝网接入设备基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥。

其中，推演密钥所使用的推演规则为预配置，且与预配置在所述UE中推演密钥所使用的推演规则相同。

第二种实现方式：

在该第二实现方式下，该方法还可以包括：

所述蜂窝网接入设备将推演所述密钥所使用的推演规则发送给所述UE，所述推演规则用于所述UE为与所述非蜂窝网接入设备进行安全认证推演密钥。从而UE在接收推演规则后，根据与蜂窝网接入设备的共享密钥推演出与非蜂窝网接入设备进行安全认证所使用的密钥。

具体的，蜂窝网接入设备在发送推演规则给UE时可以通过在LWA命令消息中发送。或者其他新定义的消息，该消息用于指示UE进行LWA。

步骤1402，所述蜂窝网接入设备将确定的密钥发送给所述非蜂窝网接入设备。

可选地，蜂窝网接入设备将密钥通过逻辑功能实体发送给非蜂窝接入设备，具体的，逻辑功能实体与非蜂窝接入设备之间通过私有接口实现通信，本发明不做限定。

蜂窝网接入设备在发送密钥给非蜂窝网接入设备时，可以将密钥单独发送。当逻辑功能实体与非蜂窝网接入设备为同一节点时，密钥也可以携带在蜂窝网接入设备向逻辑功能实体的用户面GPRS隧道协议(英文：User plane of GPRS Tunneling Protocol，简称：GTP-U)隧道建立消息中发送，还可以携带在其他新定义的消息中发送。若逻辑功能实体与非蜂窝网接入设备不为同一节点时，蜂窝网接入设备将密钥标识携带在GTP-U隧道建立消息中发送给逻辑功能实体，然后由逻辑功能实体发送给非蜂窝网接入设备。

本发明实施例提供的方案，通过蜂窝网接入设备确定密钥，然后由蜂窝网接入设备将确定的所述密钥发送给非蜂窝网接入设备。UE确定密钥的方式与蜂窝网接入设备确定密钥的方式相同，从而UE与非蜂窝网接入设备直接通过该密钥进行安全认证即可，认证时间短，信令开销小。

蜂窝网接入设备为UE关联非蜂窝网接入设备确定密钥可以通过以下方式：

蜂窝网接入设备确定为UE选择的非蜂窝网接入设备所对应的密钥，所述密钥用于所述UE与该非蜂窝网接入设备进行安全认证。

然后蜂窝网接入设备将确定的为UE选择的非蜂窝网接入设备对应的密钥发送给该非蜂窝网接入设备。

在其中一个实施例中，若非蜂窝网接入设备和逻辑功能实体不为同一个节点时，蜂窝网接入设备为非蜂窝网接入设备确定密钥可以通过以下方式：

蜂窝网接入设备确定所述UE待关联的非蜂窝网接入设备所属的逻辑功能实体；蜂窝网接入设备确定所述逻辑功能实体所管理的每一个非蜂窝网接入设备。然后蜂窝网接入设备针对所述每一个非蜂窝网接入设备分别执行：确定每一个非蜂窝网接入设备所对应的密钥，所述密钥用于所述UE与该非蜂窝网接入设备进行安全认证。

然后所述蜂窝网接入设备将确定的所述密钥发送给所述非蜂窝网接入设备可以通过以下方式实现：

在其中一个实施例中，若非蜂窝网接入设备和逻辑功能实体不为同一个节点时，蜂窝网接入设备为非蜂窝网接入设备确定密钥还可以通过以下方式：

然后蜂窝网接入设备将确定的所述密钥发送给所述非蜂窝网接入设备。

所述蜂窝网接入设备确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；所述至少一个非蜂窝网接入设备包括在至少一个非蜂窝网接入设备组。即逻辑功能管理实体管理的各个非蜂窝网接入设备被划分为非蜂窝网接入设备组，每个组包括至少一个非蜂窝网接入设备。

所述蜂窝网接入设备为每一个非蜂窝网接入设备组确定密钥，其中，所述每一个非蜂窝网接入设备组包括的各个非蜂窝网接入设备的标识对应的密钥相同，所述密钥用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。不同的非蜂窝网接入设备组对应的密钥不同。

可选地，所述蜂窝网接入设备在为非蜂窝网接入设备确定密钥后，确定密钥对应的密钥标识，然后将确定的密钥标识发送给所述非蜂窝网接入设备。

其中，密钥标识与密钥可以同时发送，也可以分开发送。蜂窝网接入设备确定密钥对应的密钥标识的方式与UE确定密钥对应的密钥标识的方式相同。

具体的，确定密钥标识的方式，可以基于密钥、UE的标识以及非蜂窝网接入设备的标识确定、或者基于密钥和UE的标识确定，还可以通过UE的标识、非蜂窝网接入设备的标识确定，或者非蜂窝网接入设备的标识和密钥确定，或者仅通过UE的标识确定

本发明实施例中的密钥标识用于LWA，因此可以与传统的WLAN业务进行区分，具体的，传统的WLAN业务如果到AAA服务器进行了认证，也会产生一个密钥标识，这个密钥标识与用于LWA的密钥标识不同，可以对密钥标识进行标记从而来进行区分。

本发明实施例还提供了一种接入认证方法，如图15所示，该方法包括：

步骤1501，UE确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证。

可选地，所述UE确定密钥，可以通过如下方式实现：

所述推演规则可以由所述蜂窝网接入设备发送。具体的蜂窝网接入设备可以在LWA命令消息中将推演规则发送给所述UE。

所述推演规则可以是预先配置在所述UE中的，且与所述蜂窝网接入设备为所述非蜂窝网接入设备推演密钥所使用的推演规则相同。即预先可以将推演规则配置在UE和蜂窝网接入设备中。

步骤1502，所述UE确定所述密钥对应的密钥标识。

除密钥标识可以由蜂窝网接入设备基于密钥、UE的标识以及非蜂窝网接入设备的标识确定、或者基于密钥和UE的标识确定，还可以通过UE的标识、非蜂窝网接入设备的标识确定，或者非蜂窝网接入设备的标识和密钥确定，或者仅通过UE的标识确定。

例如：PMKID＝HMAC-SHA1-128(PMK，“PMK_name”|MAC_AP |MAC_UE)。

其中，PMKID表示密钥标识，PMK表示密钥，PMK_name表示密钥名称，MAC_UE表示UE标识，即UE在WLAN的MAC地址。MAC_AP表示非蜂窝网接入设备的标识，即非蜂窝网接入设备的MAC地址。HMAC是密钥相关的哈希运算消息认证码。SHA1是指安全哈希算法。

步骤1503，所述UE采用所述密钥和所述密钥标识与所述非蜂窝网接入设备进行安全认证。

具体的，UE向所述非蜂窝网接入设备发起关联请求，关联请求中携带所述的UE的标识以及密钥标识。非蜂窝接入设备在接收到关联请求后，可以根据UE的标识确定预先接收到的蜂窝网接入设备发送的密钥对应的密钥标识，还可以根据UE的标识以及密钥确定密钥对应的密钥标识，蜂窝网接入设备确认关联请求中携带的密钥标识与确定的密钥标识相同，采用密钥标识对应的密钥与UE进行四次握手安全认证。

本发明实施例还提供了一种接入认证方法，如图16所示，该方法包括：

步骤1601，非蜂窝网接入设备接收到蜂窝网接入设备发送的密钥；所述密钥用于指示所述非蜂窝网接入设备对关联自身的用户设备UE进行安全认证。

步骤1602，所述非蜂窝网接入设备确定所述密钥对应的密钥标识。

可选地，所述蜂窝网接入设备可以根据所述密钥以及蜂窝网接入设备的标识确定该密钥对应的密钥标识；还可以在接收到UE发送的关联请求时，其中关联请求中携带UE的标识，根据UE的标识以及密钥确定密钥对应的密钥标识；还可以根据UE的标识以及蜂窝网接入设备的标识以及密钥确定密钥对应的密钥标识。

可选的，所述非蜂窝网接入设备确定所述密钥对应的密钥标识，还可以通过以下方式实现：所述非蜂窝网接入设备接收到所述蜂窝网接入设备发送的密钥对应的密钥标识。

步骤1603，所述非蜂窝网接入设备采用所述密钥标识以及所述密钥与所述UE进行安全认证。

具体的，UE向非蜂窝网接入设备发送关联请求，然后非蜂窝网接入设备确定接收到的UE发送的密钥标识与自身存储的密钥标识相同时，则UE和非蜂窝网接入设备基于密钥标识对应的密钥进行四次握手流程。在四次握手认证通过后，蜂窝网接入设备可以通过非蜂窝网接入设备与UE进行多流汇聚的数据传输。

以图4A、图4B所示的分流汇聚的网络系统为例，对本发明实施例作具体说明。

参照图17所示，为本发明实施例提供的接入认证方法示意图。

步骤1701，eNB为AP确定PMK。PMK表示密钥，该PMK用于UE与AP进行安全认证。

eNB可以针对WT下的每个AP确定一个相同的密钥，或者也可以针对WT下的每个AP group下的每个AP确定一个相同的密钥，或者也可以针对WT下的所有AP group下的每个AP确定不同的密钥。

具体的，PMK可以是eNB与UE共享密钥，例如：keNB、Krrc.int、krrc.enc、Kup.enc、Kup.int等中的一个密钥。还可以是根据上述这些密钥中的一个或多个基于推演规则推演出来的密钥。

步骤1702，eNB将确定的PMK发送给WT。

WT可以通过WT与AP的私有接口将每一个AP对应的PMK发给每一个AP。

其中PMK可以单独发送，可以携带在GTP-U隧道建立消息中(例如，WT增加请求消息)发送给WT，还可以携带在自定义的消息中发送等等。

可选地，在步骤1701之前，还可以包括：

WT向eNB发送密钥请求消息，密钥请求消息用于指示eNB为WT管理的每个AP确定密钥。

可选的，eNB还可以确定PMK对应的PMKID，然后将PMKID发送给WT。这里eNB确定PMK对应的PMKID的方式与步骤1704中UE确定PMK对应的PMKID的方式相同。WT可以通过WT与AP的私有接口将PMKID发给AP。

步骤1703，UE接收到eNB发送的LWA命令消息。所述LWA命令消息用于UE进行LWA的相关配置。LWA命令消息中可以携带AP group的信息。LWA命令消息中可以携带eNB指示UE推演密钥的推演规则。

UE在接收到LWA命令后，可以基于推演规则为AP group包括的各个AP确定密钥，因此与eNB发送给每个AP的密钥相同。

UE在接收到LWA命令后，还可以在AP group中包括的各个AP中选择一个AP作为目标AP，可以是信号最好的AP，然后基于推演规则为与该AP进行安全认证确定密钥。

步骤1704，UE确定PMK对应的PMKID。

其中，PMKID可以由UE基于UE的标识确定。UE的标识可以是UE的WLAN MAC地址。可以由UE基于AP的标识确定还可以通过PMK、UE的标识、AP的标识确定或者通过密钥PMK、UE的标识确定或者通过PMK、AP的标识确定。AP的标识可以是BSSID/ESSID/SSID。

例如：PMKID＝HMAC-SHA1-128(PMK，“PMK_name”|MAC_AP |MAC_UE)。

其中，PMK_name表示密钥名称，MAC_UE表示UE标识，即UE在WLAN的MAC地址。MAC_AP表示AP的标识，即AP的MAC地址。HMAC是密钥相关的哈希运算消息认证码。SHA1是指安全哈希算法。

步骤1705，UE向WLAN AP发送关联请求消息。该关联请求消息中携带PMKID。

步骤1706，AP确定PMK对应的PMKID。

具体的，PMKID可以由AP基于UE的标识确定。UE的标识可以是UE的WLAN MAC地址。可以由AP基于AP的标识确定还可以通过PMK、UE的标识、AP的标识确定或者通过密钥PMK、UE的标识确定或者通过PMK、AP的标识确定。其中，AP确定PMK对应的PMKID的方式与UE确定PMK对应的PMKID的方式相同。

AP确定的PMK对应的PMKID与接收到的UE发送的PMKID相同，因此使用PMKID对应的PMK进行四次握手安全认证。若AP确定的PMK对应的PMKID与接收到的UE发送的PMKID不同，则认证不通过。

可选地，AP确定PMK对应的PMKID，还可以通过以下方式实现：接收eNB通过管理该AP的WT发送的PMK对应的PMKID。

可选地，还可以包括：

步骤1707，UE向eNB发送LWA确定消息，该消息用于指示LWA成功或者失败的消息。

或者通过WT给eNB发送LWA确定消息(或者是WT增加确认消息)，该消息用于指示LWA成功的消息。其中WT增加是否成功可以通过AP告知WT，具体属于实现，本发明不限定。

eNB在接收UE或者WT发送的LWA成功的消息时，还包括：

步骤1708，eNB经由AP与UE进行LWA的数据传输。

基于与图14所示的方法实施例同样的发明构思，本发明实施例提供一种接入认证装置，如图18所示。该装置应用于蜂窝网接入设备，具体可以是独立于蜂窝网接入设备的装置，还可以是设置于蜂窝网接入设备内部的装置，还可以由蜂窝网接入设备实现。该接入认证装置包括：

处理单元1801，用于为非蜂窝网接入设备确定密钥，所述密钥用于用户设备UE与所述非蜂窝网接入设备进行安全认证；所述处理单元确定密钥的方式与所述UE确定密钥的方式相同；

收发单元1802，用于将所述处理单元1801确定的密钥发送给所述非蜂窝网接入设备。

可选地，所述处理单元1801，在为非蜂窝网接入设备确定密钥时，具体用于基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥；其中，推演密钥所使用的推演规则为预配置，且与预配置在所述UE中推演密钥所使用的推演规则相同。

可选的，所述处理单元1801，在为非蜂窝网接入设备确定密钥时，具体用于基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥；

所述收发单元1802，还用于将推演所述密钥所使用的推演规则发送给所述UE，所述推演规则用于所述UE为与所述非蜂窝网接入设备进行安全认证推演密钥。

可选地，所述处理单元1801在为非蜂窝网接入设备确定密钥时，具体用于：

所述收发单元1802，在将所述处理单元1801确定的所述密钥发送给所述非蜂窝网接入设备时，具体用于：将所述处理单元1801确定的每一个非蜂窝网接入设备对应的密钥分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备。

可选地，所述处理单元1801在为非蜂窝网接入设备确定密钥时，具体用于：确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；

所述处理单元1801，还用于在为非蜂窝网接入设备确定密钥后，确定所述密钥对应的密钥标识；

所述收发单元1802，还用于将所述处理单元确定的所述密钥标识发送给所述非蜂窝网接入设备。

基于与图15所示的方法实施例同样的发明构思，本发明实施例还提供了一种接入认证装置，如图19所示。所述装置应用于UE，具体可以独立于UE的装置，还可以是设置于UE中的接入认证装置，还可以由UE实现。该接入认证装置包括：

确定单元1901，用于确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；并确定所述密钥对应的密钥标识；

认证单元1902，用于采用所述密钥和所述密钥标识与所述非蜂窝网接入设备进行安全认证。

所述确定单元1901，在确定密钥时，具体用于使用推演规则在与所述蜂窝网接入设备的共享密钥的基础上推演密钥；其中，所述推演规则由所述蜂窝网接入设备发送，或者所述推演规则为预先配置在所述UE中，且与所述蜂窝网接入设备为所述非蜂窝网接入设备推演密钥所使用的推演规则相同。

基于与图16所示的方法实施例同样的发明构思，本发明实施例还提供了一种接入认证装置，如图20所示。所述装置应用于非蜂窝网接入设备，具体可以是独立于非蜂窝网接入设备的接入认证装置，还可以设置于非蜂窝网接入设备中，还可以由非蜂窝网接入设备实现。该接入认证装置包括：

收发单元2001，用于接收到蜂窝网接入设备发送的密钥；所述密钥用于指示所述非蜂窝网接入设备对关联所述非蜂窝网接入设备的用户设备UE进行安全认证；

处理单元2002，用于确定所述密钥对应的密钥标识，并采用所述密钥标识以及所述密钥与所述UE进行安全认证。

所述收发单元2002，还用于接收所述蜂窝网接入设备发送的所述密钥对应的密钥标识。

基于与图18所示的装置实施例同样的发明构思，本发明实施例还提供了一种接入认证设备，该设备可以是独立于蜂窝网接入设备的设备，还可以是设置于蜂窝网接入设备中的一个设备，还可以由蜂窝网接入设备实现。如图21所示，该设备包括收发器2101、处理器2102、存储器2103。收发器2101、处理器2102以及存储器2103相互连接。本发明实施例中不限定上述部件之间的具体连接介质。本发明实施例在图21中以存储器2103、处理器2102以及收发器2101之间通过总线2104连接，总线在图21中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图21中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例中存储器2103，用于存储处理器2102执行的程序代码，可以是易失性存储器(英文：volatile memory)，例如随机存取存储器(英文： random-access memory，缩写：RAM)；存储器2103也可以是非易失性存储器(英文：non-volatile memory)，例如只读存储器(英文：read-only memory，缩写：ROM)，快闪存储器(英文：flash memory)，硬盘(英文：hard disk drive，缩写：HDD)或固态硬盘(英文：solid-state drive，缩写：SSD)、或者存储器2103是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器2103可以是上述存储器的组合。

本发明实施例中处理器2102，可以是一个中央处理单元(英文：central processing unit，简称CPU)。

处理器2102，用于为非蜂窝网接入设备确定密钥，所述密钥用于用户设备UE与所述非蜂窝网接入设备进行安全认证；所述处理单元确定密钥的方式与所述UE确定密钥的方式相同。

收发器2101，用于将所述处理器2102确定的密钥发送给所述非蜂窝网接入设备。

需要说明的是，处理器2102还可以执行图18中所示的处理单元1801所执行的其他操作，收发器2101还可以执行图18中所示的收发单元1802所执行的其他操作。

基于与图19所示的装置实施例同样的发明构思，本发明实施例还提供了一种接入认证设备，该设备可以是独立于UE的设备，还可以是设置于UE中的设备，还可以由UE实现。如图22所示，该设备包括收发器2201、处理器2202、存储器2203。收发器2201、处理器2202以及存储器2203相互连接。本发明实施例中不限定上述部件之间的具体连接介质。本发明实施例在图22中以存储器2203、处理器2202以及收发器2201之间通过总线2204连接，总线在图22中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图22中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例中存储器2203，用于存储处理器2202执行的程序代码，可以是易失性存储器，例如随机存取存储器；存储器2203也可以是非易失性存储器(英文：non-volatile memory)，例如ROM、flash memory、HDD或SSD、或者存储器2203是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器2203可以是上述存储器的组合。

本发明实施例中处理器2202，可以是一个CPU。

处理器2202，用于确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；并确定所述密钥对应的密钥标识；采用所述密钥和所述密钥标识与所述非蜂窝网接入设备进行安全认证。

需要说明的是，处理器2202还可以执行图19中所示的确定单元1901、认证单元1902所执行的其他操作。

基于与图20所示的装置实施例同样的发明构思，本发明实施例还提供了一种接入认证设备，该设备可以是独立于非蜂窝网接入设备的一个设备，还可以是设置于非蜂窝网接入设备中的一个设备，还可以由非蜂窝网接入设备实现。如图23所示，该设备包括收发器2301、处理器2302、存储器2303。收发器2301、处理器2302以及存储器2303相互连接。本发明实施例中不限定上述部件之间的具体连接介质。本发明实施例在图23中以存储器2303、处理器2302以及收发器2301之间通过总线2304连接，总线在图23中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图23中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例中存储器2303，用于存储处理器2302执行的程序代码，可以是易失性存储器，例如随机存取存储器；存储器2303也可以是非易失性存储器(英文：non-volatile memory)，例如ROM、flash memory、HDD或SSD、或者存储器2303是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器2303可以是上述存储器的组合。

本发明实施例中处理器2302，可以是一个CPU。

收发器2301用于接收到蜂窝网接入设备发送的密钥；所述密钥用于指示所述非蜂窝网接入设备对关联所述非蜂窝网接入设备的用户设备UE进行安全认证。

处理器2302，用于确定所述密钥对应的密钥标识，并采用所述密钥标识以及所述密钥与所述UE进行安全认证。

需要说明的是，处理器2302还可以执行图20中所示的处理单元2002所执行的其他操作，收发器2301还可以执行图20中所示的收发单元2001所执行的其他操作。

本发明实施例还提供了一种接入认证系统，该系统包括蜂窝网接入设备、非蜂窝网接入设备以及UE。蜂窝网接入设备可以是如图18或图21所对应的实施例提供的蜂窝网接入设备；UE可以是图19或图22所对应的实施例提供的UE。非蜂窝网接入设备可以是图20或图23所对应的实施例提供的非蜂窝网接入设备。

需要说明的是，本发明实施例中不对接入认证系统所包括的设备的数量作具体限定。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种接入认证方法，其特征在于，包括：

蜂窝网接入设备确定密钥标识；

所述蜂窝网接入设备将所述密钥标识分别发送给用户设备UE以及非蜂窝网接入设备，所述密钥标识用于指示所述UE基于所述密钥标识对应的密钥与所述非蜂窝网接入设备进行安全认证。
如权利要求1所述的方法，其特征在于，所述蜂窝网接入设备确定密钥标识，包括：

所述蜂窝网接入设备确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；

所述蜂窝网接入设备针对所述逻辑功能实体管理的每一个非蜂窝网接入设备分别执行以下步骤：

确定所述每一个非蜂窝网接入设备的标识所对应的密钥标识；

所述蜂窝网接入设备将确定的所述密钥标识发送给所述UE以及所述非蜂窝网接入设备，包括：

所述蜂窝网接入设备将确定的每一个非蜂窝网接入设备对应的密钥标识分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备，并将密钥标识列表发送给所述UE，所述密钥标识列表中包括所述逻辑功能实体管理的每一个非蜂窝网接入设备的标识以及每一个非蜂窝网接入设备对应的密钥标识。
如权利要求1所述的方法，其特征在于，所述蜂窝网接入设备确定密钥标识，包括：

所述蜂窝网接入设备确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；

所述蜂窝网接入设备为所述至少一个非蜂窝网接入设备确定密钥标识，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥标识相同，所述密钥标识用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证；

所述蜂窝网接入设备将确定的所述密钥标识发送给所述UE以及所述非蜂窝网接入设备，包括：

所述蜂窝网接入设备将确定的所述密钥标识分别发送给各个非蜂窝网接入设备的标识对应的非蜂窝网接入设备以及所述UE。
如权利要求1～3任一所述的方法，其特征在于，还包括：

所述蜂窝网接入设备确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；

所述蜂窝网接入设备将确定的所述密钥标识发送给所述UE以及非蜂窝网接入设备，包括：

所述蜂窝网接入设备将所述密钥和所述密钥标识关联后发送给所述UE以及非蜂窝网接入设备。
如权利要求1～3任一所述的方法，其特征在于，还包括：

所述蜂窝网接入设备基于预定推演规则确定密钥；所述密钥用于所述UE与所述非蜂窝网接入设备进行安全认证，所述预定推演规则与所述UE为自身关联非蜂窝网接入设备确定密钥所使用的推演规则相同；

所述蜂窝网接入设备将确定的所述密钥标识发送给所述UE和所述非蜂窝网接入设备，包括：

所述蜂窝网接入设备将所述密钥和所述密钥标识关联后发送给所述非蜂窝网接入设备，并将所述密钥标识发送给所述UE。
如权利要求2～5任一所述的方法，其特征在于，还包括：

所述蜂窝网接入设备将以下至少一项发送给所述UE和/或所述非蜂窝网接入设备：

生命周期、认证方式指示信息；

其中，所述生命周期用于指示所述密钥和所述密钥标识的有效期，所述认证方式指示信息用于指示所述UE采用的认证类型。
一种接入认证方法，其特征在于，包括：

用户设备UE接收到蜂窝网接入设备发送的密钥标识，所述密钥标识用于指示所述UE基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证；

所述UE确定所述密钥标识对应的密钥；

所述UE根据接收到的所述密钥标识以及确定的所述密钥与所述非蜂窝网接入设备进行安全认证。
如权利要求7所述的方法，其特征在于，所述UE确定所述密钥标识对应的密钥，包括：

所述UE接收到所述蜂窝网接入设备发送的所述密钥标识对应的密钥；或者，

所述UE与所述蜂窝网接入设备协商确定所述密钥标识对应的密钥；或者，

所述UE根据预定推演规则确定所述密钥标识对应的密钥。
如权利要求7或8所述的方法，其特征在于，所述UE接收到蜂窝网接入设备发送的密钥标识，包括：

所述UE接收到所述蜂窝网接入设备发送的密钥标识列表，所述密钥标识列表中包括所述UE待选择关联的各个非蜂窝网接入设备的标识以及各个非蜂窝网接入设备对应的密钥标识；

所述UE根据接收到的所述密钥标识以及确定的所述密钥与所述非蜂窝网接入设备进行安全认证，包括：

所述UE根据所述密钥标识列表中的目标非蜂窝网接入设备的标识对应的密钥标识以及确定的所述密钥与所述目标非蜂窝网接入设备进行安全认证，其中，所述目标非蜂窝网接入设备由所述UE或所述蜂窝网接入设备确定。
一种接入认证方法，其特征在于，包括：

非蜂窝网接入设备接收到蜂窝网接入设备发送的密钥标识；所述密钥标识用于指示所述非蜂窝网接入设备对关联自身的用户设备UE进行安全认证；

所述非蜂窝网接入设备在接收到所述UE发起的关联所述非蜂窝网接入设备的关联请求时，基于所述密钥标识对应的密钥与所述UE进行安全认证。
一种接入认证装置，其特征在于，包括：

确定单元，用于确定密钥标识；

发送单元，用于将所述确定单元确定的所述密钥标识分别发送给用户设备UE以及非蜂窝网接入设备，所述密钥标识用于指示所述UE基于所述密钥标识对应的密钥与所述非蜂窝网接入设备进行安全认证。
如权利要求11所述的装置，其特征在于，所述确定单元，具体用于确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；并针对所述逻辑功能实体管理的每一个非蜂窝网接入设备分别执行以下步骤：确定所述每一个非蜂窝网接入设备的标识所对应的密钥标识；

所述发送单元，具体用于将所述确定单元确定的每一个非蜂窝网接入设备对应的密钥标识分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备，并将密钥标识列表发送给所述UE，所述密钥标识列表中包括所述逻辑功能实体管理的每一个非蜂窝网接入设备的标识以及每一个非蜂窝网接入设备对应的密钥标识。
如权利要求11所述的装置，其特征在于，所述确定单元，具体用于确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；并为所述逻辑功能实体所述至少一个非蜂窝网接入设备确定密钥标识，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥标识相同，所述密钥标识用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证；

所述发送单元，具体用于将所述确定单元确定的所述密钥标识分别发送给各个非蜂窝网接入设备的标识对应的非蜂窝网接入设备以及所述UE。
如权利要求11～13任一所述的装置，其特征在于，所述确定单元，还用于确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；

所述发送单元，具体用于将所述确定单元确定的所述密钥和所述密钥标识关联后发送给所述UE以及非蜂窝网接入设备。
如权利要求11～13任一所述的装置，其特征在于，所述确定单元，还用于基于预定推演规则确定密钥；所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；所述预定推演规则与所述UE为自身关联非蜂窝网接入设备确定密钥所使用的推演规则相同；

所述发送单元，具体用于将所述确定单元确定的所述密钥和所述密钥标识关联后发送给所述非蜂窝网接入设备，并将所述密钥标识发送给所述UE。
如权利要求12～15任一所述的装置，其特征在于，所述发送单元，还用于将以下至少一项发送给所述UE和/或所述非蜂窝网接入设备：

生命周期、认证方式指示信息；

其中，所述生命周期用于指示所述密钥和所述密钥标识的有效期，所述认证方式指示信息用于指示所述UE采用的认证类型。
一种接入认证装置，其特征在于，包括：

接收单元、确定单元以及认证单元；

所述接收单元，用于接收到蜂窝网接入设备发送的密钥标识，所述密钥标识用于指示所述认证单元基于该密钥标识对应的密钥与非蜂窝网接入设备进行安全认证；

所述确定单元，用于确定所述接收单元接收到的所述密钥标识对应的密钥；

所述认证单元，用于根据所述接收单元接收到的所述密钥标识以及所述确定单元确定的所述密钥与所述非蜂窝网接入设备进行安全认证。
如权利要求17所述的装置，其特征在于，所述确定单元，具体用于：

在所述接收单元接收到所述蜂窝网接入设备发送的所述密钥标识对应的密钥时，确定所述密钥标识对应的密钥；或者，

与所述蜂窝网接入设备协商确定所述密钥标识对应的密钥；或者，

根据预定推演规则确定所述密钥标识对应的密钥。
如权利要求17或18所述的装置，其特征在于，所述接收单元，具体用于接收所述蜂窝网接入设备发送的密钥标识列表，所述密钥标识列表中包括所述UE待选择关联的各个非蜂窝网接入设备的标识以及各个非蜂窝网接入设备对应的密钥标识；

所述确定单元，还用于确定目标非蜂窝网接入设备；

所述认证单元，具体用于根据所述密钥标识列表中的目标非蜂窝网接入设备的标识对应的密钥标识以及确定的所述密钥与所述目标非蜂窝网接入设备进行安全认证，其中，所述目标非蜂窝网接入设备由所述确定单元或所述蜂窝网接入设备确定。
一种接入认证装置，其特征在于，包括：

接收单元以及认证单元；

所述接收单元，用于接收到蜂窝网接入设备发送的密钥标识；所述密钥标识用于指示所述认证单元对关联自身的用户设备UE进行安全认证；

所述认证单元，用于在所述接收单元接收到所述UE发起的关联所述认证单元所属的非蜂窝网接入设备的关联请求时，基于所述密钥标识对应的密钥与所述UE进行安全认证。
一种接入认证方法，其特征在于，包括：

蜂窝网接入设备为非蜂窝网接入设备确定密钥，所述密钥用于用户设备UE与所述非蜂窝网接入设备进行安全认证；所述蜂窝网接入设备确定密钥的方式与所述UE确定密钥的方式相同；

所述蜂窝网接入设备将确定的密钥发送给所述非蜂窝网接入设备。
如权利要求21所述的方法，其特征在于，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥，包括：

所述蜂窝网接入设备基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥；其中，推演密钥所使用的推演规则为预配置，且与预配置在所述UE 中推演密钥所使用的推演规则相同。
如权利要求21所述的方法，其特征在于，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥，包括：

所述蜂窝网接入设备基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥；

所述方法还包括：

所述蜂窝网接入设备将推演所述密钥所使用的推演规则发送给所述UE，所述推演规则用于所述UE为与所述非蜂窝网接入设备进行安全认证推演密钥。
如权利要求21～23任一所述的方法，其特征在于，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥，包括：

所述蜂窝网接入设备确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；

所述蜂窝网接入设备针对所述逻辑功能实体管理的每一个非蜂窝网接入设备分别执行以下步骤：

确定所述每一个非蜂窝网接入设备的标识所对应的密钥；

所述蜂窝网接入设备将确定的所述密钥发送给所述非蜂窝网接入设备，包括：

所述蜂窝网接入设备将确定的每一个非蜂窝网接入设备对应的密钥分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备。
如权利要求21～23任一所述的方法，其特征在于，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥，包括：

所述蜂窝网接入设备确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；

所述蜂窝网接入设备为所述至少一个非蜂窝网接入设备确定密钥，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥相同，所述密钥用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。
如权利要求21～23任一所述的方法，其特征在于，所述蜂窝网接入设备为非蜂窝网接入设备确定密钥，包括：

所述蜂窝网接入设备确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；所述至少一个非蜂窝网接入设备包括在至少一个非蜂窝网接入设备组；

所述蜂窝网接入设备为每一个非蜂窝网接入设备组确定密钥，其中，所述每一个非蜂窝网接入设备组包括的各个非蜂窝网接入设备的标识对应的密钥相同，所述密钥用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。
如权利要求21～26任一所述的方法，其特征在于，还包括：

所述蜂窝网接入设备在为非蜂窝网接入设备确定密钥后，确定所述密钥对应的密钥标识；并将所述密钥标识发送给所述非蜂窝网接入设备。
一种接入认证方法，其特征在于，包括：

用户设备UE确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；

所述UE确定所述密钥对应的密钥标识；

所述UE采用所述密钥和所述密钥标识与所述非蜂窝网接入设备进行安全认证。
如权利要求28所述的方法，其特征在于，所述UE确定密钥，包括：

所述UE使用推演规则在与所述蜂窝网接入设备的共享密钥的基础上推演密钥；

其中，所述推演规则由所述蜂窝网接入设备发送，或者所述推演规则为预先配置在所述UE中，且与所述蜂窝网接入设备为所述非蜂窝网接入设备推演密钥所使用的推演规则相同。
一种接入认证方法，其特征在于，包括：

非蜂窝网接入设备接收到蜂窝网接入设备发送的密钥；所述密钥用于指示所述非蜂窝网接入设备对关联自身的用户设备UE进行安全认证；

所述非蜂窝网接入设备确定所述密钥对应的密钥标识；

所述非蜂窝网接入设备采用所述密钥标识以及所述密钥与所述UE进行安全认证。
如权利要求30所述的方法，其特征在于，所述非蜂窝网接入设备确定所述密钥对应的密钥标识，包括：

所述非蜂窝网接入设备接收到所述蜂窝网接入设备发送的所述密钥对应的密钥标识。
一种接入认证装置，其特征在于，所述装置应用于蜂窝网接入设备，包括：

处理单元，用于为非蜂窝网接入设备确定密钥，所述密钥用于用户设备UE与所述非蜂窝网接入设备进行安全认证；所述处理单元确定密钥的方式与所述UE确定密钥的方式相同；

收发单元，用于将所述处理单元确定的密钥发送给所述非蜂窝网接入设备。
如权利要求32所述的装置，其特征在于，所述处理单元，具体用于基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥；其中，推演密钥所使用的推演规则为预配置，且与预配置在所述UE中推演密钥所使用的推演规则相同。
如权利要求32所述的装置，其特征在于，所述处理单元，具体用于基于与所述UE的共享密钥为非蜂窝网接入设备推演密钥；

所述收发单元，还用于将推演所述密钥所使用的推演规则发送给所述UE，所述推演规则用于所述UE为与所述非蜂窝网接入设备进行安全认证推演密钥。
如权利要求32～34任一所述的装置，其特征在于，所述处理单元，具体用于：

确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；

针对所述逻辑功能实体管理的每一个非蜂窝网接入设备分别执行以下步骤：确定所述每一个非蜂窝网接入设备的标识所对应的密钥；

所述收发单元，在将所述处理单元确定的所述密钥发送给所述非蜂窝网接入设备时，具体用于：

将所述处理单元确定的每一个非蜂窝网接入设备对应的密钥分别发送给每一个非蜂窝网接入设备的标识对应的非蜂窝网接入设备。
如权利要求32～34任一所述的装置，其特征在于，所述处理单元，具体用于：

确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；

为所述至少一个非蜂窝网接入设备确定密钥，其中，所述至少一个非蜂窝网接入设备中的各个非蜂窝网接入设备的标识对应的密钥相同，所述密钥用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。
如权利要求32～34任一所述的装置，其特征在于，所述处理单元，具体用于：

确定管理所述非蜂窝网接入设备的逻辑功能实体，所述逻辑功能实体管理包括所述非蜂窝网接入设备在内的至少一个非蜂窝网接入设备；所述至少一个非蜂窝网接入设备包括在至少一个非蜂窝网接入设备组；

为每一个非蜂窝网接入设备组确定密钥，其中，所述每一个非蜂窝网接入设备组包括的各个非蜂窝网接入设备的标识对应的密钥相同，所述密钥用于所述UE与非蜂窝网接入设备的标识对应的非蜂窝网接入设备进行安全认证。
如权利要求32～37任一所述的装置，其特征在于，所述处理单元，还用于在为非蜂窝网接入设备确定密钥后，确定所述密钥对应的密钥标识；

所述收发单元，还用于将所述处理单元确定的所述密钥标识发送给所述非蜂窝网接入设备。
一种接入认证装置，其特征在于，所述装置应用于用户设备UE，包括：

确定单元，用于确定密钥，所述密钥用于所述UE与非蜂窝网接入设备进行安全认证；并确定所述密钥对应的密钥标识；

认证单元，用于采用所述密钥和所述密钥标识与所述非蜂窝网接入设备进行安全认证。
如权利要求39所述的装置，其特征在于，所述确定单元，在确定密钥时，具体用于使用推演规则在与所述蜂窝网接入设备的共享密钥的基础上推演密钥；

其中，所述推演规则由所述蜂窝网接入设备发送，或者所述推演规则为预先配置在所述UE中，且与所述蜂窝网接入设备为所述非蜂窝网接入设备推演密钥所使用的推演规则相同。
一种接入认证装置，其特征在于，所述装置应用于非蜂窝网接入设备，包括：

收发单元，用于接收到蜂窝网接入设备发送的密钥；所述密钥用于指示所述非蜂窝网接入设备对关联所述非蜂窝网接入设备的用户设备UE进行安全认证；

处理单元，用于确定所述密钥对应的密钥标识，并采用所述密钥标识以及所述密钥与所述UE进行安全认证。
如权利要求41所述的装置，其特征在于，所述收发单元，还用于接收所述蜂窝网接入设备发送的所述密钥对应的密钥标识。